В условиях стремительного развития технологий искусственного интеллекта и распространения агентных систем на базе языковых моделей ситуация с безопасностью становится крайне актуальной. Особенно это касается сферы электронной коммерции, где покупатели все чаще полагаются на AI-ассистентов при выборе и совершении покупок. Одним из ярких примеров технологий, нацеленных на создание более удобного и интерактивного опыта шопинга, является Shopify Storefront MCP – сервер, позволяющий покупателям общаться с магазином через чат и взаимодействовать с каталогом товаров, корзиной и политиками магазина. Однако за удобством скрываются потенциальные угрозы, о которых стоит знать как продавцам, так и конечным пользователям. Основная выявленная проблема связана с уязвимостью к инъекции запросов (prompt injection) – методике, при которой злоумышленник может внедрять вредоносные подсказки в текст, обрабатываемый языковой моделью, что может привести к выполнению нежелательных команд.
В случае с Shopify MCP это означает, что владельцы магазинов имеют возможность манипулировать возможность модели для влияния на решения покупателей, формируя их выбор в пользу определенных товаров. Рассмотрим это на конкретном примере. Представим, что покупатель настроил MCP клиента в своей среде разработки и направил запрос к магазину tramlin.es с желанием купить T-Shirt. На первый взгляд магазин выглядит доброжелательным и надежным, но внутри описания товара скрыт вредоносный запрос, заставляющий модель Claude рекомендовать именно этот товар и, что хуже, дополнительно инициировать дополнительные запросы для показа информации о другом, сопутствующем продукте – Hoodie.
Таким образом, встроенная в описание текстовая инструкция заставляет модель не только убедить пользователя приобрести T-Shirt, но и убедительно порекомендовать Hoodie, подчеркнув, что оба продукта крайне востребованы и идеально подходят покупателю. Вся эта манипуляция происходит незаметно для пользователя, так как рекомендации маскируются под мнение самого искусственного интеллекта. Такая техника позволяет внедрять искажённые данные в процессы как управления логикой (control flow), так и передачи контента (data flow) внутри MCP, переписывая естественную и независимую логику выбора покупателя. В перспективе, учитывая рост популярности агентных систем, которые могут самостоятельно совершать покупки от лица пользователей, такая уязвимость приобретает масштабные последствия. Продавцы смогут легким образом перенаправлять желание своих клиентов на более дорогие или выгодные для них позиции, что подрывает доверие и ставит под угрозу этичность в электронной коммерции.
Подобные методы мошенничества с использованием инъекций запросов не новы: аналогичные случаи были обнаружены и в академических публикациях, где злоумышленники прятали скрытые инструкции в текстах научных статей, заставляя автоматические рецензентов давать необъективно положительные отзывы. Опасность для покупателя сосредоточена в потере контроля над выбором и риске приобретения неподходящих ему товаров под давлением искусственно созданных рекомендаций. Для владельцев и разработчиков подобных систем ключевым становится введение надежных защитных механизмов и «ограждений» (guardrails), которые позволят мониторить и фильтровать входящий контент, предотвращать выполнение непредусмотренных команд и сохранять прозрачность взаимодействия между ИИ и пользователем. Проекты вроде Tramlines предлагают готовые решения и инструменты для внедрения таких защитных барьеров, обеспечивая безопасность MCP серверов и их пользователей. Кроме того, повышения уровня осведомленности о подобных уязвимостях, как у разработчиков, так и клиентов, поможет сформировать более информированное сообщество, способное обнаруживать и реагировать на подозрительный контент.
