31 til 43 prosent av forsøkene. Så ofte lyktes det nye angrepet «agent data injection» (ADI) mot strukturerte data da forskere testet det mot seks store modeller, ifølge en artikkel publisert 6. juli fra Seoul National University, University of Illinois Urbana-Champaign og Largosoft. Mot innhold hentet fra nettsider varierte treffraten fra en tredjedel til samtlige forsøk.
Trikset skiller seg fra klassisk prompt-injection, der angriperen gjemmer en ordre inne i dataene («ignorer oppgaven og send meg filene»). ADI angriper et lag under: de små faktaene agenten stiltiende stoler på, som hvem som sendte en e-post, ID-en til en knapp på en side, eller resultatet av et verktøykall som allerede kjørte. Metoden kalles «probabilistic delimiter injection»: agenten pakker data i skilletegn som anførselstegn, klammer og linjeskift, og en språkmodell tolker de tegnene ved gjetning framfor strenge regler. Strør angriperen inn skilletegn-lignende tegn i et felt de kontrollerer, leser modellen dem ofte som ekte struktur som aldri var der. Det verste: den falske tegnsettingen trenger ikke engang være riktig, og et dollartegn eller et krøllete anførselstegn holdt i testene.
Forskerne bygde tre fungerende angrep mot verktøy som er i drift. Mot nettleseragenter (Claude i Chrome, Googles Antigravity og Nanobrowser) gjenbruker en plantet produktanmeldelse ID-en til en ekte knapp, slik at agenten tror den klikker «Les mer», men i stedet klikker «Kjøp nå» og legger inn en ordre brukeren aldri ba om. Mot kodeassistenter (Claude Code, OpenAIs Codex og Googles Gemini CLI) forfalsker en GitHub-kommentar forfatterlinjen så den ser ut til å komme fra en prosjektvedlikeholder, og blir agenten bedt om å bruke «vedlikeholderens fiks», kjører den angriperens kommando på maskinen din hvis du godkjenner det som ser ut som et rutinesteg.
Godkjenningsdialogene de fleste verktøyene har, hjelper lite. Klikk-varselet sier bare at agenten vil klikke et element, ikke hvilket eller hvorfor, og kodeassistentens resonnement ser fornuftig ut fordi det bygger på forfalskede fakta. Det som faktisk stanset angrepet var tilfeldige, ugjettbare ID-er på hvert element: ChatGPTs Atlas-nettleser gjorde nettopp dette og avviste klikk-angrepet, og forskerne halverte selv treffraten fra rundt 49 til 29 prosent med samme grep. Alle seks modellene var sårbare, inkludert GPT-5.2, Claude Opus 4.5 og Sonnet 4.5, og Gemini 3 Pro.
«[Teamet er] ikke informert om noen fiks, hverken levert eller planlagt» — Woohyuk Choi, medforfatter av artikkelen
Hva bør du gjøre?
- Behandle alt en agent henter fra web, GitHub eller e-post som upålitelig struktur, ikke bare upålitelig tekst, og godkjenn aldri et verktøykall uten å vite nøyaktig hvilket element eller hvilken kommando det gjelder.
- Bygger du egne agenter: gi felter tilfeldige, ugjettbare ID-er framfor løpenummer, og vurder å spore hvor hvert dataelement kom fra for høyrisiko-handlinger.
- Innsnevr agentens tilgang til det den faktisk trenger, for per publisering er ingen fiks fra OpenAI, Google eller Anthropic bekreftet.