Фишинг через ИИ для ML-специалистов: новая угроза и защита | AiManual
AiManual Logo Ai / Manual.
11 Янв 2026 Новости

Ваш код — не ваша проблема: как ML-специалистов обманывают через Telegram с помощью ИИ

Новые схемы атак через Telegram и социнженерию. Как защитить свой цифровой след и публичный профиль от целевых атак на ML-специалистов.

«Помогите настроить локальную нейросеть»: начало атаки

Это выглядит как обычное сообщение в Telegram от коллеги-энтузиаста. Вежливо. С уважением к вашему времени. Ссылается на ваши публичные работы. Просит помощи с запуском какой-нибудь open-source модели — Llama, Stable Diffusion, что угодно. Ошибка какая-то странная, он скидывает скриншот терминала. Выглядит убедительно.

И вот вы уже открываете терминал, чтобы помочь. А потом — скрипт. Потом — доступ к вашему SSH-ключу или облачной сессии. Атака началась.

Реальный кейс: Специалист по компьютерному зрению потерял доступ к собственному GPU-кластеру после того, как «помог» незнакомцу запустить якобы сломанный конфиг для обучения модели. Злоумышленник использовал его мощности для майнинга криптовалюты.

Почему именно мы? Потому что мы — мишень

ML-специалисты — идеальная цель. У нас публичные профили на GitHub, Kaggle, LinkedIn. Мы делимся кодом, обсуждаем модели, хвастаемся достижениями. Это наш цифровой след. И он стал картой для социальных инженеров.

Атаки строятся на двух китах: вежливости и срочности. «Очень срочно нужно для проекта», «дедлайн горят», «коллега посоветовал именно вас». Это работает. Мы помогаем комьюнити. Это часть культуры. И этим пользуются.

💡
Ваш публичный репозиторий с экспериментами по adversarial robustness — это не только научный вклад. Это сигнал злоумышленнику: «Здесь есть доступ к вычислительным ресурсам и чувствительным данным».

Схема атаки: от вежливого вопроса до полного контроля

Все начинается с исследования. Злоумышленник изучает ваш GitHub, ищет упоминания о работе с облачными провайдерами, смотрит ваши контрибьюты в open-source проекты. Потом — контакт.

  1. Первое сообщение: Комплимент вашей работе, ссылка на конкретный репозиторий. Вопрос по «небольшой проблеме».
  2. Эскалация: Скидывает «ошибку». Часто — это поддельный скриншот или реальная ошибка, вырванная из контекста.
  3. Предложение помощи: «Может, посмотрите у себя? У меня точно такая же среда». Или: «Дайте доступ, я сам попробую, а вы потом проверите?».
  4. Финал: Вы запускаете скрипт, открываете порт, даете временный доступ. Доступ становится постоянным.
Этап атаки Цель злоумышленника Типичная уловка
Разведка Найти специалиста с доступом к мощным ресурсам Анализ публичных коммитов, статей, упоминаний о работе
Установление контакта Вызвать доверие, войти в диалог Ссылка на конкретный проект жертвы, комплименты
Внедрение Получить возможность запустить код на машине жертвы Просьба «проверить на своей среде», «посмотреть логи»
Закрепление Обеспечить постоянный доступ Установка backdoor, кража SSH-ключей, компрометация облачной сессии

Защита: не переставать помогать, но делать это с умом

Главная проблема — культура открытости противоречит паранойе. Но паранойя сейчас — это новый здравый смысл. Вот что реально работает.

1 Сегрегируй свои личности

Рабочий GitHub — отдельно. Личный — отдельно. На рабочем аккаунте не должно быть ссылок на ваши облачные консоли, внутренние инструменты компании. Используйте разные почты. Это базово, но 90% специалистов этим пренебрегают.

2 Никакого реального кода в ответ на просьбы из ниоткуда

Помогать можно. Но только публичным кодом, который уже лежит в репозитории. Никаких live-сессий, никакого удаленного доступа к своей среде. «Вот ссылка на документацию, вот issue в соответствующем репозитории». Все.

3 Проверяй историю собеседника

У реального исследователя или инженера будет след. GitHub аккаунт старше полугода. Контрибьюты в проекты. У бота или злоумышленника — пустой профиль, сгенерированная аватарка, шаблонные фразы. Пять минут проверки спасают месяцы проблем.

💡
Помните про OpenAI и подрядчиков? Ваши рабочие файлы и данные — это ценность. Их крадут не только через взлом, но и через социальную инженерию.

4 Используй песочницы для помощи

Если очень хочется помочь запустить код — делай это в изолированной среде. Docker-контейнер, который убиваешь после сессии. Виртуальная машина. Cloud Shell. Что угодно, только не твоя основная рабочая станция с доступом ко всему.

ИИ ускоряет не только разработку, но и атаки

Злоумышленники теперь используют ИИ для генерации убедительных сообщений, анализа вашего стиля общения в Issues и Pull Requests, создания персонализированных предлогов. Это уже не спам из Google Translate. Это качественный таргетированный фишинг.

Тот же инструмент, что помогает нам писать код быстрее, помогает им обманывать убедительнее. Ирония в том, что защита от этого — не техническая, а человеческая. Внимательность. Скепсис. Процедуры.

Что будет дальше? Атаки станут тоньше

Следующий шаг — компрометация через цепочку доверия. Взлом аккаунта известного разработчика в open-source проекте. Рассылка poisoned commits или malicious packages коллегам и контрибьюторам. Как в случае с Man-in-the-Prompt атаками, но на уровне системы контроля версий.

Или фишинг под видом рекрутеров из крупных компаний, предлагающих «срочное тестовое задание» с доступом к «внутренней платформе». Звучит как паранойя? Уже происходит.

Совет напоследок: Следующая большая утечка данных в AI-компании начнется не с взлома базы, а с успешной социальной инженерии против одного инженера, который «просто хотел помочь коллеге». Ваша вежливость — ваш главный вектор атаки. Научитесь говорить «нет» или «сделаю это безопасно».

Безопасность в AI — это не только про защиту от промпт-инъекций или alignment модели. Это про культуру. Про то, как мы общаемся в сообществе. И сейчас эта культура дает трещину. Пора ее укреплять.

На главную