W istotnym postępie dla bezpieczeństwa AI, badacze Google zidentyfikowali fundamentalny wzorzec podatności, który zagraża integralności systemów agentów AI.
15 czerwca 2025 roku zespół ds. bezpieczeństwa Google opublikował artykuł „Wprowadzenie do podejścia Google do bezpieczeństwa agentów AI”, autorstwa Santiago Díaza, Christopha Kerna i Kary Olive. Publikacja przedstawia aspiracyjne ramy zabezpieczania agentów AI, które definiuje jako „systemy AI zaprojektowane do postrzegania otoczenia, podejmowania decyzji i wykonywania autonomicznych działań w celu realizacji celów określonych przez użytkownika”.
Badania wskazują na dwa główne zagrożenia: niepożądane działania (niezamierzone, szkodliwe lub naruszające politykę zachowania) oraz ujawnianie wrażliwych danych (nieautoryzowane ujawnienie informacji prywatnych). Aby przeciwdziałać tym ryzykom, Google zaleca hybrydową strategię obrony w głąb, łączącą tradycyjne środki bezpieczeństwa z dynamicznymi, opartymi na rozumowaniu mechanizmami ochrony.
Następnego dnia, 16 czerwca 2025 roku, opublikowano powiązany artykuł, w którym wprowadzono pojęcie „śmiertelnego trio” dla agentów AI – niebezpiecznego połączenia trzech możliwości, które tworzą poważne luki w zabezpieczeniach: dostępu do danych prywatnych, ekspozycji na niezaufane treści oraz zdolności do komunikacji zewnętrznej. Gdy te trzy elementy współistnieją w systemie AI, atakujący mogą potencjalnie nakłonić agenta do uzyskania dostępu do wrażliwych informacji i ich wycieku.
Badacz bezpieczeństwa Simon Willison, który kilka lat temu ukuł termin „prompt injection”, podkreślił znaczenie zrozumienia tego wzorca podatności. „Jeśli Twój agent łączy te trzy cechy, atakujący może łatwo nakłonić go do uzyskania dostępu do Twoich prywatnych danych i przesłania ich temu atakującemu” – zauważył Willison w swojej analizie badań Google.
Moment publikacji tych badań jest szczególnie istotny, ponieważ agenci AI zyskują coraz większą autonomię i dostęp do wrażliwych systemów. Najwięksi gracze technologiczni, tacy jak Microsoft, Google czy Anthropic, doświadczyli podobnych problemów z bezpieczeństwem w swoich produktach AI w ciągu ostatnich dwóch lat – udokumentowano dziesiątki ataków polegających na wycieku danych w systemach takich jak ChatGPT, Microsoft Copilot czy Google Bard.
Google w swoich badaniach proponuje trzy kluczowe zasady bezpieczeństwa agentów: agenci muszą mieć jasno określonych ludzkich kontrolerów, ich uprawnienia powinny być ściśle ograniczone, a ich działania i planowanie – możliwe do obserwacji. Wytyczne te stanowią cenny punkt odniesienia dla deweloperów i organizacji wdrażających systemy agentów AI, którzy muszą poruszać się w coraz bardziej złożonym krajobrazie bezpieczeństwa autonomicznych sztucznych inteligencji.