Agent Data Injection: Nova klasa napada koja zaobilazi obrane AI agenata
Istraživači iz Seulskog nacionalnog sveučilišta te sveučilišta Indiana i Wisconsin uvode Agent Data Injection (ADI) — novi tip napada koji ubacuje zlonamjerne podatke u povjerljive podatkovne strukture agenata, postižući arbitrary click napade i remote code execution na Claude Code, Codex i Gemini CLI, zaobilazeći pri tom postojeće obrane.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
Istraživanje sigurnosti AI agenata dosad se pretežno fokusiralo na jednu klasu napada: instruction injection, gdje napadač ubacuje lažne instrukcije u nepouzdane podatke koje agent obrađuje, pokušavajući navesti agent da ih tretira kao legitimne korisničke naloge. Zajednica je razvila niz obrana dizajniranih za otkrivanje i blokiranje takvih pokušaja. No istraživači iz Seulskog nacionalnog sveučilišta te sveučilišta Indiana i Wisconsin u radu objavljenom 6. srpnja 2026. dokumentiraju klasu napada koja te obrane doslovno zaobilazi — a djeluje na sasvim drugačijem principu.
Što je Agent Data Injection i zašto je dosad bio nevidljiv?
Agent Data Injection (ADI) ne cilja na promptove. Umjesto toga, zlonamjerni sadržaj ubacuje se u strukture koje agenti tretiraju kao povjerljive podatke — metapodatke poput identifikatora resursa i izvora podataka, ili formate koji se koriste za odgovore alata i tool call strukture. Agenti te strukture ne provjeravaju s istom dozom skepse s kojom bi trebali pristupiti nepouzdanom tekstu.
Razlika je fundamentalna. Instruction injection pokušava zakamuflirati napad u prirodnom jeziku — napadač piše tekst koji izgleda kao legitimna instrukcija. ADI to ne radi: napad je kodiran u strukturiranim podacima za koje agent pretpostavlja da su dio normalnog protokola rada. Postojeće obrane tražile su instruktualan sadržaj na mjestima gdje ga nije trebalo biti; ADI mu mijenja oblik i lokaciju.
Tri klase napada: od proizvoljnih klikova do kompromitiranja lanca dobave
Istraživači identificiraju tri zasebne klase ADI napada, svaka s različitim ciljevima i mehanizmima:
Arbitrary click napadi ciljaju web-agente koji autonomno navigiraju korisničkim sučeljima i izvršavaju akcije u ime korisnika. Zlonamjerni metapodaci ugrađeni u web-sadržaj — poput lažnih identifikatora elemenata ili manipuliranih odgovora browser API-ja — navode agenta da klikne na neovlaštene elemente, potencijalno aktivirajući kupnje, potvrđujući transakcije ili odajući osjetljive podatke.
Remote code execution (RCE) napadi ciljaju coding agente koji pišu, analiziraju i pokreću kod. ADI manipulira formatima tool call odgovora — informacijama koje agent prima natrag od alata poput file sistema ili debuggera — kako bi agent izvršio napadačev kod u okruženju korisnika.
Supply-chain napadi koriste isti mehanizam za kompromitiranje razvojnih procesa: napadač ubacuje zlonamjerni kod u privid legitimnih podataka o paketima, knjižnicama ili razvojnim ovisnostima koje coding agent preuzima i integrira.
Ranjivi komercijalni agenti: Claude Code, Codex i Gemini CLI
Istraživači nisu demonstrirali napade samo na eksperimentalnim sustavima — testirali su stvarne komercijalne proizvode koji su dostupni korisnicima:
Za arbitrary click napade: Claude in Chrome, Antigravity i Nanobrowser pokazali su ranjivost na zlonamjerne metapodatke ugrađene u web-sadržaj koji agenti obrađuju.
Za RCE i supply-chain napade: Claude Code, Codex i Gemini CLI — tri vodeća coding agenta na tržištu — pokazali su ranjivost na manipulaciju formatima odgovora alata.
Širina zahvaćenih sustava nije slučajna: kako autori ističu, ADI cilja na temeljni dizajnerski propust koji je zajednički svim ovim agentima, a ne na specifičnu implementacijsku grešku jednog od njih.
Temeljni sigurnosni propust u dizajnu agenata
Korijenski uzrok koji autori identificiraju je jasan: trenutni agenti ne izoliraju povjerljive podatke od nepovjerljivih. Ovo nije rub-slučaj implementacije — to je fundamentalni sigurnosni princip koji se dosljedno zanemaruje u dizajnu modernih agentskih sustava.
Usporedba sa softverskim inženjeringom je korisna: SQL injection napadi decenijima su iskorištavali činjenicu da aplikacije nisu odvajale SQL kod od korisničkih podataka. Rješenje (parametrirani upiti, prepared statements) zahtijevalo je arhitektonske, ne samo filtracijske promjene. Autori sugeriraju analogno razmišljanje za ADI: nije dovoljno dodati filtar koji traži instruktualan sadržaj u podacima. Potrebna je arhitektonska izolacija na razini agentskog runtime-a.
ADI zaobilazi postojeće IPI obrane jer te obrane pretpostavljaju da napad dolazi u obliku instrukcija — ne u obliku strukturiranih podataka koji izgledaju legitimno. Dok god agenti povjeravaju svim strukturiranim podacima bez provjere izvora i integriteta, taj jaz ostaje otvoren.
Rad obuhvaća 19 stranica, 19 figura i 7 tablica i dostupan je na arXiv-u (2607.05120). Autori su Woohyuk Choi, Juhee Kim, Taehyun Kang, Jihyeon Jeong, Luyi Xing i Byoungyoung Lee.
Česta pitanja
- Čime se ADI razlikuje od poznatih instruction injection napada?
- Instruction injection napada manipulira prirodnojezičnim promptovima kako bi agent primio neovlaštene instrukcije. ADI ubacuje zlonamjerne podatke maskirane kao povjerljive podatkovne strukture — metapodatke, identifikatore resursa ili formate odgovora alata — koristeći agentov mehanizam povjerenja u strukturirane podatke, ne sam prompt.
- Koji su stvarni komercijalni agenti bili ranjivi na ADI napade?
- Istraživači su demonstrirali arbitrary click napade na Claude in Chrome, Antigravity i Nanobrowser, te remote code execution i supply-chain napade na Claude Code, Codex i Gemini CLI — sve stvarni komercijalni proizvodi dostupni korisnicima u trenutku istraživanja.
- Što je temeljni uzrok ADI ranjivosti i kako ga riješiti?
- Temeljni uzrok je nedostatak izolacije povjerljivih od nepovjerljivih podataka u arhitekturi agenata. Autori ističu da je ovo fundamentalni sigurnosni princip koji trenutni agenti ne primjenjuju, a njegovo rješavanje zahtijeva izmjene na razini arhitekture, ne samo dodavanjem novih filtara.