W swoim Globalnym raporcie o zagrożeniach z 2026 r. firma CrowdStrike zgłosiła ataki polegające na natychmiastowym wstrzyknięciu w ponad 90 organizacjach w 2025 r. Wstrzyknięte monity generowały polecenia, które kradły dane uwierzytelniające i kryptowalutę, co oznacza znaczącą zmianę, ponieważ te monity działają teraz jako złośliwe oprogramowanie.
W raporcie udokumentowano 89% wzrost rok do roku liczby operacji przeciwnika wykorzystujących sztuczną inteligencję. Ponadto 82% włamań nie wiązało się z tradycyjnym złośliwym kodem i miało miejsce, gdy przedsiębiorstwa zaczęły korzystać z agentów, drugich pilotów i automatyzacji przeglądarek zapewniających dostęp do poczty e-mail, kodu, płatności i udziałów plików.
Prompt Injection utrzymuje swoją czołową pozycję w rankingu LLM01 na liście 10 najlepszych aplikacji OWASP dla dużych aplikacji modelowych językowych przez dwie kolejne edycje. Projekt OWASP podkreślił, że modele językowe nie są w stanie wiarygodnie odróżnić instrukcji programistycznych od niezaufanego tekstu, co przekształca to, co kiedyś było ciekawostką badawczą, w lukę operacyjną.
Bezpośrednie wprowadzenie podpowiedzi ma miejsce, gdy użytkownik wpisuje instrukcje mające na celu zastąpienie monitu systemowego, natomiast pośrednie wprowadzenie podpowiedzi ma miejsce, gdy osoba atakująca osadza instrukcje w treści, którą model czyta później, takiej jak wiadomości e-mail lub dokumenty. Użytkownik nie widzi ładunku, a agent wykonuje złośliwe polecenia bez interakcji.
Dwa godne uwagi incydenty rzuciły światło na powagę tych luk. W sierpniu 2024 r. firma PromptArmor ujawniła, że osoba atakująca Slack AI może wydobyć dane z kanałów prywatnych, umieszczając instrukcje w kanałach publicznych lub przesyłając pliki. W następnym roku firma Aim Security zgłosiła wyciek EchoLeak (CVE-2025-32711), w którym spreparowana wiadomość e-mail poleciła usłudze Microsoft 365 Copilot pobranie plików wewnętrznych i wysłanie ich na serwer kontrolowany przez osobę atakującą, uzyskując wynik CVSS na poziomie 9,3. Obie luki zostały załatane, ale klasa ataków pozostaje nierozwiązana.
Obszar luk w zabezpieczeniach rozszerzył się, obejmując szerszy stos agentów, w którym agenci wykonujący różne zadania traktują swój kontekst jako autorytatywny. Dzięki temu rozwiązaniu długoterminowa pamięć agenta może wielokrotnie przechowywać i wykonywać złośliwe instrukcje.
OpenAI przyznało w grudniu 2025 r., że jest mało prawdopodobne, aby szybkie wstrzyknięcie zostało w pełni rozwiązane, często porównując to do inżynierii społecznej. Karta systemowa Claude Opus 4.6 firmy Anthropic wykazała skuteczność na poziomie 17,8% przy pojedynczej próbie szybkiego wstrzyknięcia, wzrastając do 78,6% w przypadku 200 prób bez zastosowanych zabezpieczeń. Google odnotowało 53,6% skuteczności szybkiego wstrzyknięcia we wdrożeniu Gemini.
W grudniu 2025 r. Gartner zalecił CISO zablokowanie wszystkich przeglądarek AI, powołując się na pośrednie wprowadzanie monitów i inne zagrożenia związane z niewystarczającą kontrolą. Cyberhaven zgłosiło, że 27,7% organizacji miało co najmniej jednego użytkownika z zainstalowanym zablokowanym narzędziem AI Atlas, co zostało powtórzone przez brytyjskie Krajowe Centrum Cyberbezpieczeństwa i niemieckie BSI.
Ograniczenia istniejących zabezpieczeń przed natychmiastowym wstrzyknięciem wynikają ze wspólnych kanałów tekstowych w modelach językowych. Sprawdzanie poprawności danych wejściowych, filtrowanie danych wyjściowych i inne metody wykrywania są trudne ze względu na nieodłączną niemożność oddzielenia autoryzowanych poleceń od niezaufanej zawartości w modelu.
Oddzielne badanie wykazało, że 65,3% organizacji nie posiada dedykowanych zabezpieczeń przed natychmiastowym wstrzyknięciem i zamiast tego polega na środkach dostarczanych przez dostawców i szkoleniach w zakresie zasad. Skuteczne kontrole powinny obejmować ograniczenie uprawnień każdego agenta, wymaganie od człowieka zgody na krytyczne działania, oznaczanie źródeł wyszukiwania w oparciu o wrażliwość i wdrażanie praktyk audytu.
Gdy organizacje rozważają wdrożenie sztucznej inteligencji, zachęca się zespoły ds. bezpieczeństwa, aby pytały dostawców o możliwości wykrywania, wskaźniki skuteczności w przypadku szybkich wstrzyknięć, przestrzeganie zaleceń OWASP oraz możliwość rejestrowania dokładnych działań agentów. Biorąc pod uwagę luki, dla przedsiębiorstw niezwykle ważne jest założenie, że modele mogą czasami wykonywać wprowadzone instrukcje, co wymaga solidnych kontroli zewnętrznych.





