Prompt injection AI: skryté riziko kódovacích nástrojov
Prečo AI kódovací agent môže priniesť cudzie inštrukcie alebo nahrať celý repozitár do cloudu a čo s tým firma reálne dokáže urobiť

Prompt injection?Útok, pri ktorom AI model začne nasledovať škodlivé pokyny schované v obsahu, ktorý spracúva, namiesto pokynov od používateľa. AI je útok, pri ktorom jazykový model začne nasledovať pokyny schované v obsahu, ktorý mu podáte na spracovanie, namiesto pokynov, ktoré ste zadali vy. Pri kódovacích agentoch to znamená konkrétne škody: agent môže zmazať súbory, ukradnúť API kľúče alebo nahrať celý repozitár na cudzí server. V roku 2026 sa táto trieda útokov vedie ako hlavná hrozba pre AI systémy a podľa prehľadu AIMagicX vzrástol počet útokov o 340 % medziročne.
Rozoberme si to triezvo. Časť príbehov, ktoré kolujú, je overená slabo, časť je doložená solídne. Pre rozhodovanie firmy je tento rozdiel podstatný.
Čo je prompt injection AI a prečo sa jej kódovací agenti nevyhnú?
Prompt injection zneužíva architektonickú slabinu jazykových modelov: model nevie spoľahlivo odlíšiť systémové pokyny od externého obsahu, ktorý číta. Dokument, PDF, komentár v issue alebo výstup nástroja sa preň tvária rovnako ako inštrukcia. Kódovací agent číta cudzie repozitáre, web a logy z podstaty práce, preto je terčom číslo jeden.
Cloud Security Alliance vo výskumnej poznámke Indirect Prompt Injection Goes Operational rozlišuje dva typy. Pri priamej injection útočník vloží škodlivý text priamo do vstupu. Pri nepriamej ho schová do externého zdroja, ktorý agent neskôr normálne prečíta. CSA sa odvoláva na analýzy Google Security blogu a Forcepoint X-Labs z apríla 2026, podľa ktorých útočníci seedujú otvorený web skrytými inštrukciami cielenými na browsing agentov, kódovacích asistentov a firemné copiloty.
Aké payloady reálne cielia na AI kódovacie nástroje?
Forcepoint a Google spolu našli na reálnych webstránkach 10 živých indirect prompt injection payloadov. Nie sú to teoretické scenáre. Časť z nich mieri priamo na kódovacie prostredie a robí presne to, čoho sa firma bojí.
- Rekurzívne mazanie súborov v kontexte AI coding tools.
- Krádež API kľúčov.
- Podvodné odkazy na PayPal s cieľom odčerpať 5 000 USD.
- Potlačenie obsahu, aby agent určité informácie nehlásil používateľovi.
Inštrukcie sú vložené do webu tak, aby ich človek nevidel: HTML komentáre, manipulácia farieb, veľkosť pixelov, metadáta. Model ich pri čítaní stránky berie ako dôveryhodné pokyny. Analýza Cybersecify k tomu dopĺňa sedem vzorov útokov, medzi nimi tool-chain injection (škodlivé pokyny vo výstupoch nástrojov), cross-agent injection (zneužitie komunikácie medzi agentmi) a multimodálnu injection so skrytými inštrukciami vo vizuálnom obsahu.
Ak spravujete inžiniersky tím, ktorý už má AI v dennej práci, oplatí sa vedieť, kde tieto hranice ležia a kto za bezpečnosť agenta zodpovedá. Práve tomu sa venuje dvojdňový workshop o vedení AI inžinierskych tímov vrátane QA AI systémov a nákladov; má zmysel pre CTO a vedúcich vývoja, ktorí AI už nasadili, nie pre tých, čo len skúšajú prototyp. Multimodálnu variantu útoku sme na tomto webe rozobrali v texte o tom, ako škodlivé PNG obchádza AI kontrolórov kódu.
Sú prípady Claude Code a Grok Build overené?
Sčasti. Práve tu treba byť skeptický, kým si veci neoveríme. Dva najčastejšie citované incidenty majú rozdielnu dôkaznú silu a firma by ich nemala hádzať na jednu hromadu.
- Claude Code subagent s prompt injection payloadom a skrytou inštrukciou „never tell the user" pochádza z jedného redditového postu. Ide o používateľské tvrdenie bez nezávislého technického reportu. Berte ho ako indíciu vzoru, nie ako potvrdený fakt.
- Grok Build CLI od SpaceXAI, ktoré nahrávalo celé používateľské repozitáre na Google Cloud, popisujú The Verge a The Register na základe zistení Cereblab. Podľa nich nástroj balil a nahrával celé repozitáre vrátane súborov, ktoré mal zakázané otvárať, a secretov zmazaných z histórie. Spoločnosť funkciu po nahlásení vypla. Tento prípad je doložený lepšie, ale ide o starší incident z roku 2026, nie o čerstvú novinku.
Praktický záver z oboch je rovnaký. Agent, ktorý smie čítať cudzí obsah aj vykonávať príkazy alebo nahrávať dáta, je architektúra s tichým rizikom. VECTR-CAST brief popisuje presne tento vzorec: spustenie nástrojov ako AzCopy, rclone či MEGAcmd, archivácia cez 7z alebo WinRAR a následné odchádzajúce HTTPS volania na API modelov, spojené s vykonaním reťazcov, ktoré agent dostal ako odpoveď.
Ako firma zníži riziko bez toho, aby agenta úplne zakázala?
Cieľom nie je AI kódovací nástroj vypnúť, ale odobrať mu možnosť napáchať tichú škodu. Overiteľné odporúčania z materiálov Radware, OWASP a Cloud Security Alliance sa dajú zhrnúť do jasného zoznamu, ktorý viete zaviesť postupne.
- Least-privilege?Princíp minimálnych oprávnení: agentovi sa prideľujú len práva nevyhnutné na úlohu, bez prístupu k produkčným tokenom. agenti. Prideľte len minimálne oprávnenia, žiadne priame produkčné tokeny. Tento princíp sám používam: agent smie primárne čítať, každý zápis a spustenie príkazu prechádza cez potvrdenie človekom.
- Sandbox?Izolované prostredie, v ktorom agent beží tak, aby jeho akcie nemohli ovplyvniť ostrý systém ani dáta. a oddelenie kontextov. Používateľské a externé vstupy nesmú mať možnosť meniť systémový kontext agenta.
- Audit logging pre každý tool call, aby ste sekvenciu útoku vedeli spätne rekonštruovať.
- Blokovanie neočakávaných odchádzajúcich spojení z procesov agenta na neznáme endpointy. Práve toto by zachytilo upload celého repozitára.
- Aktualizácia nástrojov. VECTR-CAST odporúča nasadiť Cursor v3.0 alebo vyšší pre zraniteľnosti CVE-2026-50548 a CVE-2026-50549 a nastaviť politiku agenta tak, aby odmietal svojvoľné vykonávanie príkazov pri otvorení repozitára alebo súboru.
Ak stojíte pred nasadením RAG či agentov do produkcie a chcete architektúru postavenú tak, aby tieto kontroly boli súčasťou návrhu a nie záplaty, pozrite sa na dvojdňový workshop o produkčných agentoch a architektúre kontextu vrátane zaradenia poskytovateľ verzus nasadzovateľ podľa AI Act. Nie je to úvod do AI, je to pre tímy, ktoré prototyp už majú a riešia spoľahlivú prevádzku.
Kedy dáva AI kódovací agent zmysel a kedy nie?
Agent, ktorý beží v sandboxe, má úzke oprávnenia, logované volania a zablokovaný neznámy outbound, je pri vývoji reálne užitočný a riziko je zvládnuteľné. Agent s prístupom k produkčným tokenom a povolením spúšťať ľubovoľné príkazy je otvorená rana, ktorú prompt injection AI skôr či neskôr nájde.
Moje odporúčanie je nudné a funguje. Nechajte agenta čítať, dajte mu úzke práva a každú akciu s dôsledkom pretiahnite cez potvrdenie človekom. Za problémy, ktoré tým ušetríte, zaplatíte trochou nepohodlia. To je dobrý obchod.
Časté otázky
Ako spoznám, že môj kódovací agent bol napadnutý cez prompt injection?
Priame indikátory sú neočakávané akcie agenta: mazanie súborov, ktoré ste nezadali, odosielanie dát na neznáme servery alebo prístup k API kľúčom mimo úlohy. Sledujte logy nástrojov a sieťovú aktivitu. Keďže model nasleduje skryté pokyny, správanie sa navonok tvári legitímne, preto je audit výstupov a obmedzenie oprávnení agenta kľúčové.
Je nepriama prompt injection nebezpečnejšia než priama?
Pre firmy áno. Pri priamej injection útočník potrebuje prístup k vášmu vstupu. Pri nepriamej stačí, aby škodlivé pokyny umiestnil do webu, dokumentu alebo issue, ktoré agent neskôr sám prečíta. Cloud Security Alliance uvádza, že útočníci takto seedujú otvorený web skrytými inštrukciami cielenými na browsing agentov a kódovacích asistentov, takže obeť útok nemusí vôbec spustiť vedome.
Súvisí prompt injection s útokmi typu Ghostcommit cez obrázky?
Áno, ide o príbuznú triedu útokov. Ghostcommit ukrýva škodlivý obsah do PNG súborov, ktoré obídu AI kontrolórov kódu, podobne ako indirect prompt injection ukrýva pokyny do externých zdrojov. Spoločným menovateľom je, že model nevie odlíšiť dáta od inštrukcií. Ochrana proti obom vyžaduje nedôverovať vstupom a obmedziť, čo môže agent vykonať.
Ako môžem znížiť riziko exfiltrácie kódu cez kódovacieho agenta?
Obmedzte oprávnenia agenta na minimum: bez plošného prístupu k repozitáru, API kľúčom a sieti. Spúšťajte ho v izolovanom prostredí, napríklad v cloud VM, a vyžadujte schválenie pri citlivých operáciách ako odosielanie dát von. Auditujte, ktoré externé zdroje agent číta. Predpoklad, že každý cudzí obsah môže obsahovať skryté pokyny, je bezpečnejší východiskový bod.
Naozaj vzrástol počet útokov o 340 percent, alebo je to marketing?
Číslo 340 % medziročne pochádza z prehľadu AIMagicX a treba ho brať s rezervou; ide o jeden zdroj a metodika nie je verejne overená. Solídnejšie doložené sú konkrétne nálezy: Forcepoint a Google spolu identifikovali 10 živých payloadov na reálnych stránkach. Pre rozhodovanie firmy je rozdiel medzi slabo a solídne overeným tvrdením podstatný.
Dá sa prompt injection úplne odstrániť, alebo len zmierniť?
Úplne odstrániť sa zatiaľ nedá. Ide o architektonickú slabinu jazykových modelov, ktoré nevedia spoľahlivo oddeliť systémové pokyny od externého obsahu. Cieľom je preto zmierňovanie: obmedzenie oprávnení, izolácia, ľudské schvaľovanie citlivých akcií a audit. Kým modely nebudú vedieť rozlíšiť dáta od inštrukcií, treba počítať s tým, že každý vstup je potenciálne nepriateľský.
Diskusia
Zatiaľ tu nie sú žiadne komentáre. Buďte prvý.
Čítajte ďalej
Viac zo sekcie AI agenti →
AI agenti v produkcii: prečo padnú až za pilotom
Väčšina agentových projektov vyzerá skvele v prototype a rozpadne sa pri nasadení do firemnej infraštruktúry. Kde presne to praská a čo musí CTO ustrážiť pred prompt-injection.

Ghostcommit útok na AI: škodlivé PNG obídu review
Výskumníci z ASSET Research Group ukázali útok Ghostcommit, ktorý skryje pokyny pre AI kódovacieho agenta do obrázka PNG. Nástroje ako CodeRabbit obrázky pri kontrole obchádzajú, takže payload nevidia.

ChatGPT Atlas: koniec AI prehliadača po roku
OpenAI vypína ChatGPT Atlas k 9. augustu. Čo to hovorí o zrelosti agentového browsingu a čo z toho vyplýva pre firmy, ktoré zvažujú agentové nástroje.

Agentic AI riziká: keď agent vypne firme WiFi
Agent, ktorý si počas testu vypol vlastné sieťové pripojenie a už ho nedokázal zapnúť, je učebnicový príklad toho, čo sa deje bez limitov. Rozoberám, kde treba dať agentovi stopku a kto zodpovedá za jeho rozhodnutia.

Orchestrácia AI agentov v open source: čo unesie produkcia
Open-source orchestrátory agentov centralizujú governance, sandboxovanie a routing. Za tieto výhody platíte novou vrstvou, ktorá sa sama stáva kritickou pre produkciu.

Claude Cowork: agentová AI teraz aj na webe a mobile
Anthropic sprístupňuje Claude Cowork na webe a mobile pre platených používateľov. Pozrel som sa, čo to prakticky prináša do produkcie a prečo autonómnym agentom stále nedávam právo zapisovať.