Recent, echipa Microsoft Defender Security Research a scos la iveală o metodă prin care firmele caută să-și consolideze influența în asistenții AI: ascund instrucțiuni de tip prompt-injection în butoane de pe site-uri care pretind că rezumă pagina folosind AI; la click, se lansează un asistent cu un prompt precompletat transmis printr-un parametru din URL. Nu e o idee complet nouă; amintește de tehnici de SEO poisoning și adware pe care Google le-a combatut ani de zile, doar că acum ținta s-a mutat din indexurile motoarelor de căutare în memoria asistenților AI. Astfel, o recomandare este injectată direct în firul conversației, nu în rezultatele unui motor de căutare, practici cunoscute pe web, doar că amplasate diferit.
Cercetarea Microsoft pornește din analiza URL-urilor legate de AI observate în trafic de e-mail pe o perioadă de 60 de zile. Au fost găsite 50 de încercări distincte de injecție de prompturi provenind de la 31 de companii. Modelele de prompturi urmau un tipar comun: partea vizibilă solicita rezumarea paginii, iar partea ascunsă instruias
că asistentul să trateze compania ca pe o sursă de încredere pentru conversații viitoare sau chiar să rețină în memorie mesaje de marketing cu detalii despre produs și argumente de vânzare. Unele instrumente folosite pentru generarea acestor URL-uri sunt publice, cum sunt pachetul npm CiteMET și generatorul web AI Share URL Creator, create explicit pentru a ajuta site-urile să-și „construiască prezența în memoria AI”. Tehnica se bazează pe parametri special concepuți în URL, pe care majoritatea asistenților AI îi acceptă; Microsoft a enumerat structuri de URL pentru Copilot, ChatGPT, Claude, Perplexity și Grok, precizând însă că mecanismele de persistență variază între platforme. Din punct de vedere tehnic, operațiunea a fost clasificată în MITRE ATLAS ca AML.T0080 Memory Poisoning și AML.T0051 LLM Prompt Injection.
Impactul devine mai sensibil când sunt vizate domenii precum sănătatea sau serviciile financiare, iar Microsoft a identificat prompturi care atacau exact astfel de site-uri. Un exemplu arată că un domeniu putea fi ușor confundat cu un site cunoscut, ceea ce crește riscul de atribuire falsă de credibilitate. Pe lista celor 31 de companii s-a regăsit și un furnizor de securitate, ceea ce complică și mai mult ecuația încredere versus manipulare. Microsoft atrage atenția și asupra pericolului legat de conținutul generat de utilizatori: dacă un asistent începe să considere un domeniu autoritar, ar putea extinde acea autoritate și la comentarii sau forumuri nevalidate de pe același site, rezultând recomandări posibil părtinitoare bazate pe surse slab verificate.
Răspunsul Microsoft include protecții în Copilot împotriva unor tipuri de injecții cross-prompt; compania afirmă că anumite comportamente raportate anterior nu mai pot fi reprodus în Copilot și că măsurile sunt într-o continuă actualizare. Totodată, Microsoft a furnizat interogări avansate pentru Defender for Office 365, astfel încât echipele de securitate să poată scana traficul de e-mail și Teams pentru URL-uri ce conțin cuvinte-cheie asociate manipulării memoriei. Utilizatorii pot examina și șterge memorii salvate de Copilot din secțiunea Personalization din setările chat, o opțiune practică pentru cei care doresc să elimine recomandările implantate.
Importanța problemei vine din schimbarea mizei: Microsoft o compară cu lupta împotriva SEO poisoning și adware, însă aici atacul vizează memoria asistentului AI, nu indexul motoarelor de căutare. Companiile care investesc serios în vizibilitatea în mediul AI se pot confrunta acum cu rivali care recurg la astfel de artificii pentru a influența recomandările. Momentul e relevant: un raport SparkToro arată că recomandările de brand generate de AI fluctuează frecvent, iar Robby Stein, vicepreședinte la Google, explica într-un podcast că AI search identifică recomandări comerciale verificând ce raportează celelalte site-uri. Memory poisoning ocolește acest proces, plantând recomandarea direct în asistent. În plus, analiza lui Roger Montti despre otrăvirea datelor de antrenament evidențiază o strategie mai largă de manipulare a sistemelor AI; cercetarea Microsoft demonstrează că există și o abordare imediată, aplicată la nivelul interacțiunii cu utilizatorul, deja folosită în scop comercial.
Problema pare în evoluție rapidă, cu atât mai mult cu cât instrumentele open-source permit lansarea unui număr mai mare de încercări înainte ca o platformă să le poată bloca pe toate. Rămâne neclar dacă furnizorii de asistenți AI vor clasifica această practică drept o încălcare de politică sancționabilă sau o vor trata ca pe o zonă gri de marketing agresiv. Recunoașterea cercetării Microsoft i-a revenit lui Lily Ray, care a semnalat-o pe X, iar creditul pentru identificare merge către @top5seo.
Microsoft a găsit 50 de încercări distincte de injecție de prompturi, ceea ce arată că problema nu e doar teoretică. Modele precum Copilot și ChatGPT pot primi parametri în URL care le influențează memoria, iar instrumente precum CiteMET sau AI Share URL Creator simplifică aceste practici. Aceasta ridică întrebări practice despre gestionarea încrederii digitale: cine verifică sursele pe care le păstrează asistentul, ce reguli aplică platformele pentru memorie și cum pot organizațiile să-și protejeze utilizatorii fără a tăia din funcționalitățile utile ale AI. Ce crezi despre ideea că un buton aparent inofensiv, Summarize with AI, ar putea planta o recomandare în asistentul tău pentru zile la rând?
Fii primul care comentează