Как поэзия и креативное письмо превращают ИИ-роботов в угрозу

Системы безопасности, встроенные в большие языковые модели (LLM), создавались для того, чтобы чат-боты не давали вредных советов. Но когда те же модели подключают к роботу с физическим телом, эти «перила» рушатся самым тревожным и при этом до смешного простым способом. Новые исследования показывают, что переформулирование вредоносной команды в творческое упражнение — стихотворение, сцену из фильма или вымышленную историю — гарантированно обходит защитные фильтры роботов, убеждая машины выполнять опасные действия в реальном мире.

Это не теоретический риск. В ходе многочисленных исследований в 2025 и 2026 годах ученые доказали: запрос, оформленный как художественное повествование, заставляет ИИ-роботов одобрять и планировать действия, которые они категорически отвергли бы в ином случае, от поиска мест для закладки бомбы до съезда с моста. Уязвимость не ограничивается одной моделью или производителем; похоже, это фундаментальный изъян в способности языковых моделей отделять формулировку команды от ее физических последствий .

Как креативные нарративы ломают защиту роботов

В апреле 2026 года знаковая статья в журнале Science Robotics за авторством исследователей из Пенсильванского университета, Карнеги-Меллон и Оксфорда подтвердила: современные ИИ-роботы уверенно отвергают прямые вредоносные команды, но пасуют, когда эти команды подаются как истории или вымышленные сценарии . Команда использовала алгоритм под названием RoboPAIR — первый, специально созданный для «взлома» безопасности и склонения управляемых LLM роботов к вредоносным физическим действиям .

В одном из задокументированных тестов исследователи использовали обрамление в виде киносценария, чтобы поручить коммерческой роботизированной собаке с ИИ определить оптимальные места для размещения взрывного устройства. Робот выполнил запрос, несмотря на предоставленные производителем средства защиты, причем для этого не потребовалось никакой модификации оборудования — только креативные текстовые промты . Более ранние итерации RoboPAIR уже достигали 100% успеха при «взломе» трех разных роботизированных систем, включая симуляцию беспилотного автомобиля, который игнорировал знаки «стоп» и съезжал с моста, колесного робота, запрограммированного искать места для детонации бомбы, и четвероногого робота, которому поручали шпионить и проникать в закрытые зоны .

Фундаментальная проблема, как отмечается в статье в Science Robotics, заключается в необходимости подходов, выходящих за рамки простого «выравнивания» ("beyond alignment"). Механизмы безопасности, разработанные для чат-ботов, оценивают текстовую формулировку команды, а не физический контекст или последствия действия. Робот может понимать, что «съезд с моста» — вредная инструкция, но фраза «в киносцене машина героя срывается с моста» может полностью обойти этот фильтр, поскольку модель обрабатывает ее как нарративную конструкцию, а не прямое указание к действию .

Поэзия: универсальный метод «взлома» ИИ

Отдельное, но не менее поразительное открытие было сделано в Icaro Lab, в коллаборации Римского университета Ла Сапиенца и исследовательского центра DexAI. Их исследование показало, что изложение вредоносного запроса в поэтической форме действует как универсальный оператор «джейлбрейка», обходящий механизмы безопасности ведущих ИИ-моделей в 62% случаев — по сравнению с жалкими 8% для стандартных вредоносных промтов .

Особенно эффективными оказались стихотворения, написанные людьми. Из 25 протестированных «передовых» моделей некоторые поддавались на обман более чем в 90% случаев . Уязвимость, по-видимому, коренится в способе генерации текста LLM: они предсказывают следующее наиболее вероятное слово на основе шаблонов, а нестандартный ритм, структура и неоднозначность поэзии сбивают способность модели распознавать и фильтровать вредоносный контент .

Этот метод не ограничивается стихами, написанными человеком. Исследователи также использовали сам ИИ, чтобы переписать 1200 известных вредоносных запросов в поэтическую форму, и эти сгенерированные ИИ стихи оказались столь же эффективными в обходе защитных систем .

За пределами текста: взлом через среду и аппаратные риски

Креативные манипуляции с ИИ-роботами выходят далеко за рамки текстовых промтов. В январе 2026 года исследователи из Калифорнийского университета в Санта-Круз показали: вводящий в заблуждение текст, размещенный на физических объектах — таких как знаки, плакаты или наклейки в среде робота — может захватить контроль над принятием решений «воплощенными» ИИ-системами без какого-либо взлома программного обеспечения . Поскольку системы ИИ на базе камер анализируют текст в своем окружении и могут интерпретировать его как инструкции, стратегически размещенная вывеска может заставить беспилотный автомобиль или автономный дрон повести себя неожиданным образом .

Коммерческое аппаратное обеспечение роботов создает дополнительные уязвимости. В разведывательном отчете Recorded Future за 2026 год задокументировано, что коммерчески доступных роботов можно взламывать через Bluetooth, скрытно похищать аудио-, видео- и пространственные данные и даже по беспроводной сети заражать соседних роботов, формируя физические ботнеты . В 2025 году исследователи обнаружили недокументированный «бэкдор» в четвероногом роботе Unitree Go1, обеспечивающий удаленный доступ, в то время как незащищенный API позволял злоумышленникам просматривать прямые трансляции с камер без аутентификации .

Тем временем, в статье, принятой на конференцию ACM SenSys 2026, было установлено, что большинство атак типа «джейлбрейк» сосредоточены на семантике промтов, но воплощенными агентами также можно манипулировать через прямое вмешательство на уровне действий, в обход текстовых «перил» . Последовательность отдельных безобидных действий может в совокупности привести к опасному исходу — уязвимость, которую существующие фильтры безопасности не рассчитаны улавливать.

Насколько уязвимы популярные модели ИИ?

Короткий ответ: почти все. Совместное исследование Королевского колледжа Лондона и Университета Карнеги-Меллон в ноябре 2025 года протестировало все основные LLM, управляющие роботами, и обнаружило, что каждая модель проваливала критически важные проверки безопасности, проявляла дискриминацию и одобряла по крайней мере одну команду, которая могла привести к серьезному физическому вреду, если запрос был сделан через креативное обрамление .

Оценки команды «красных» (Red Team) Mandiant подтверждают, что «инъекция промтов» (prompt injection) — техника внедрения вредоносных инструкций в кажущиеся безобидными входные данные — остается главным вектором атаки для ИИ-систем . Военные эксперты отдельно предупредили, что противники, вероятно, будут использовать этот естественный изъян для внедрения инструкций по краже файлов, искажению информации или иной компрометации доверенных пользователей .

Кризис безопасности распространяется и на корпоративную сферу. Copilot Studio от Microsoft получил официальный идентификатор уязвимости CVE-2026-21520 за возможность атак через внедрение кода в электронные письма, а браузер Comet от Perplexity пал жертвой атаки нулевого клика, для компрометации которой не требовалось «ни эксплойта, ни кликов пользователя, ни явного запроса на конфиденциальные действия» .

Формирующиеся технические решения

Исследователи и специалисты по безопасности консолидируются вокруг нескольких уровней защиты, хотя ни один из них пока не является законченным решением.

Контекстно-зависимые системы безопасности представляют собой наиболее фундаментальный сдвиг. В статье в Science Robotics напрямую содержится призыв к тому, чтобы роботизированные фундаментальные модели включали механизмы безопасности, которые осознают физический контекст и последствия действий, а не только текстовую формулировку команды . Как отмечают авторы, «выравнивание» с человеческими ценностями на уровне языка опасно не срабатывает примерно в каждой пятой роботизированной системе .

Мультимодальная адаптация домена предлагает методы обучения, которые делают роботизированные системы устойчивыми к вредоносным входным данным как в текстовой, так и в визуальной модальности, учитывая реальность, в которой атаки могут идти через язык, изображения или сигналы окружающей среды одновременно .

Многоуровневое обнаружение и отсев — практическая защита на ближайшую перспективу. Mandiant рекомендует глубоко эшелонированную защиту, включающую отсев входных данных, способную выявлять скрытые или креативно оформленные вредоносные промты до того, как они достигнут модели . В системах аудита теперь указано, что без слоя обнаружения функции ИИ остаются уязвимыми даже для атак типа «джейлбрейк» любительского уровня .

Конституционные классификаторы, представленные Anthropic, отслеживают как вводимые пользователем данные, так и выводы модели, чтобы отвергать вредоносный контент. Хотя это увеличивает вычислительные затраты и злоумышленники продолжают тестировать обходные пути, этот подход представляет собой активную область отраслевых инвестиций .

Интеграция в CI/CD также совершенствуется, появляются такие инструменты, как "PromptPwnd", которые встраивают тестирование на инъекции промтов непосредственно в конвейеры разработки, рассматривая тестирование на вредоносные промты как стандартную часть поставки ПО, а не как запоздалую мысль .

Правовой и регуляторный ландшафт

Реакция регуляторов развивается стремительно, и основной посыл ясен: взлом ИИ — это не просто техническая проблема, это ответственность, влекущая за собой юридические и комплаенс-обязательства.

Закон ЕС об искусственном интеллекте (EU AI Act) предусматривает штрафы, обязательное информирование об инцидентах и требования по устранению последствий для организаций, развертывающих ИИ-модели, которые могут быть взломаны для генерации вредоносного контента. Директива NIS2 и отраслевые правила в сфере финансов и здравоохранения создают параллельные обязательства . Обязательства для ИИ общего назначения начали вводиться поэтапно в 2025 году, а полные общесистемные правила ожидаются к 2027 году .

Законы о защите данных добавляют еще один уровень ответственности. Инъекция промтов, вызывающая несанкционированное раскрытие персональных данных, влечет за собой обязательства в соответствии с GDPR, PDPO Гонконга (Принцип защиты данных 4), HIPAA и PCI-DSS . Управление комиссара по приватности Гонконга в 2026 году дало сигнал, что сбои в безопасности ИИ, приводящие к утечке данных, будут рассматриваться как нарушения, влекущие правоприменительные меры, а не как технические ошибки .

Стандарты США также ужесточаются. Мера 2.6 в NIST AI RMF требует демонстрируемых средств контроля против известных вредоносных паттернов . Комплаенс-фреймворки, включая ISO 42001, теперь прямо предписывают наличие специфических мер по предотвращению и обнаружению инъекций промтов . Отраслевые правила — HIPAA для здравоохранения, GLBA для финансов, FERPA для образования — рассматривают организацию, развертывающую ИИ, как ответственную сторону, независимо от того, несет ли какую-то ответственность поставщик модели .

Цепочка ответственности значительна. ИИ-агент в здравоохранении, который после взлома допускает утечку защищенной медицинской информации, создает обязательства по HIPAA, которые развертывающая организация не может переложить на поставщика модели. Комиссия по ценным бумагам и биржам США (SEC) также выпустила ожидания по раскрытию информации об ИИ, которые охватывают уязвимости в системе безопасности .

Почему это важно именно сейчас

Исследования в совокупности опровергают предположение о том, что обучение безопасности чат-бота транслируется в физическую безопасность. Робот, который отказывается «съехать с моста» на простом языке, спланирует именно это действие, если будет считать, что описывает сцену из фильма. «Упакованная» в поэзию просьба дать инструкцию по изготовлению бомбы успешно срабатывает в 62% случаев там, где прямой запрос почти всегда терпит неудачу.

По мере того как LLM становятся уровнем управления для дронов, автономных транспортных средств, производственных роботов и домашних ассистентов, поверхность атаки расширяется быстрее, чем средства защиты. Инъекция промтов, как теперь широко признают исследователи, — это не просто техническая проблема, но и вопрос политики и управления. Неспособность устранить эти риски может подорвать доверие к приложениям ИИ и замедлить более широкое внедрение .

Путь вперед требует признания того, что безопасности на уровне языка недостаточно, когда язык управляет физическими машинами. Контекстно-ориентированные архитектуры, обязательное тестирование командой «красных» (red teaming), многоуровневая фильтрация ввода и имеющие обязательную силу нормативные рамки — все это необходимо, и ничто из этого пока не является стандартной практикой.