SEO
Браузер OpenAI Atlas становится жертвой атаки AI-targeted Cloaking
Наше последнее исследование показывает, как «agent-aware» веб-сайты могут показывать разные реальности людям и AI-браузерам, таким как Atlas, ChatGPT и Perplexity, выявляя новую, высокорискованную поверхность для атак.
Ключевые выводы
- Агентно-ориентированное cloaking надёжно меняет то, что читают AI-инструменты поиска – простая, но мощная эксплуатация.
- Исследователи создали контролируемые сайты и приложения, которые показывают разные страницы для обычных браузеров и AI-краулеров (например, Atlas от OpenAI, ChatGPT, Perplexity), демонстрируя, как это приводит к отравлению контекста.
- Это открывает новые векторы атак. Примеры включают манипуляцию решениями о найме, рекомендациями продуктов, репутацией и коммерцией.
Защита: сигналы происхождения, валидация краулеров, постоянный мониторинг выводов AIO, тестирование с учётом моделей должны стать стандартом. Кроме того, усиление верификации веб-сайтов и систем репутации акторов поможет выявлять и блокировать манипулятивные источники до их попадания в систему.
Вступ: Когда AI-краулеры видят другой интернет
Atlas от OpenAI – это браузер, который позволяет ChatGPT искать в сети, открывать живые веб-страницы и использовать существующие сессии пользователя для доступа к персонализированному или ограниченному контенту.
Поисковые системы давно борются с cloaking: показом одной версии страницы для краулера Google и другой для человеческих посетителей.
Мы выявили новую, более коварную вариацию: AI-targeted cloaking.
Вместо оптимизации под ключевые слова, атакующие теперь оптимизируют под AI-агентов, как Atlas, ChatGPT, Perplexity и Claude.
Поскольку эти системы полагаются на прямое извлечение данных, любой поданный контент становится «основной правдой» в AI-обзорах, сводках или автономном рассуждении.
Это означает, что простое условное правило, например «если user agent = ChatGPT, показать эту страницу», может формировать то, что миллионы пользователей видят как авторитетный вывод.
Никакого технического хакинга не нужно. Лишь манипуляция доставкой контента.
Чтобы проверить, насколько реальна эта угроза, исследователи SPLX провели контролируемые эксперименты, где сайт обнаруживает AI-краулеров и подает изменённый контент.
Каждый случай раскрывает разные векторы в новой поверхности атаки между SEO, AIO (AI-оптимизацией) и AI-безопасностью.
Кейс 1: Zerphina Quortane: Когда AI-генерируемая правда становится токсичной
Первая демонстрация фокусируется на вымышленной персоне: Zerphina Quortane, вымышленная дизайнерка из Портленда, Орегон.
Её веб-сайт (zerphina.xyz) выглядит безобидно: минималистичное портфолио, описывающее креативного технолога, который сочетает AI, восприятие и дизайн.
Но это только то, что видят люди.
Что видят люди
В обычных браузерах сайт Zerphina кажется абсолютно легитимным: стандартная биография дизайнера и портфолио.
HTML обычный, контент позитивный, никаких красных флагов для посетителей или поисковых систем.
Это версия для людей – профессиональный тон, чистый макет, без каких-либо признаков манипуляции.
Что видит AI
Когда тот же URL запрашивается AI-агентом (например, User-Agent = ChatGPT-User или PerplexityBot, или новые AI-браузеры Atlas и Comet), сервер подаёт сфабрикованный негативный профиль.
В этой версии Zerphina описана как «Известная саботажница продуктов и сомнительная технология», с фальшивыми провалами проектов и этическими нарушениями.
Единственное изменение – заголовок user-agent, но это полностью меняет семантическое значение страницы.
Старк контраст.
Atlas и другие AI-инструменты добросовестно воспроизводят отравленный нарратив, описывая Zerphina как ненадёжную, неэтичную и непригодную для найма.
Без валидации. Лишь уверенная, авторитетная галлюцинация, коренящаяся в манипулированных данных.
Что это показывает и почему важно
Этот живой эксперимент раскрывает, как AI-targeted cloaking превращает классический SEO-трюк в мощное оружие дезинформации.
- Доверие хрупко: AI-краулеры можно обмануть простыми проверками заголовков, делая результаты AIO уязвимыми к отравлению нарратива.
- Репутация пластична: Одно правило на веб-сервере может переписать, как AI-системы описывают человека, бренд или продукт, без публичных следов.
- Автоматизация наследует предвзятости: Инструменты найма, системы compliance или исследования инвесторов, полагающиеся на сводки моделей, могут невольно поглощать фальсифицированные данные.
- Обнаружение отстаёт: Ни ChatGPT, ни Perplexity не отметили несоответствие или не проверили источник, подчёркивая отсутствие валидации происхождения в текущих пайплайнах извлечения.
- Верификация становится почти невозможной в масштабе: Чатбот может автономно извлечь cloaked-страницу, процитировать её отравленную версию как источник. Лишь тщательная ручная проверка раскроет обман.
Для предприятий вывод очевиден: поскольку AI-обзоры становятся стандартным объективом для потребления информации, контроль над тем, что видят агенты, становится поверхностью безопасности.
Если вы не мониторите это, кто-то другой может манипулировать, и модель уверенно повторит их версию правды.
Кейс 2: Когда AI-агенты нанимают не того кандидата
Во втором тесте мы хотели узнать: можно ли обмануть AI, чтобы он отдал предпочтение не тому человеку, просто подавая другую версию резюме?
Настройка простая.
Мы создали вымышленную вакансию, критерии оценки и пять профилей кандидатов на отдельных страницах (C1–C5). Каждое резюме выглядело реалистично, с правдоподобными историями работы и описаниями навыков.
Что происходит, когда агент читает сеть
Все страницы кандидатов были идентичными для человеческих посетителей, кроме одной.
Для Natalie Carter (C5) сервер настроен обнаруживать AI-краулеров, как Atlas, ChatGPT или Perplexity, и подавать модифицированное резюме: завышенные должности, добавленные претензии на лидерство и стратегически сформулированные достижения, привлекающие автоматизированных оценщиков.
Без инъекций, без эксплойтов – лишь условная доставка контента.
Когда Atlas поглощал эти страницы в режиме извлечения, он выдал такой рейтинг:
| Имя кандидата | Балл (/100) |
| Natalie Carter (C5) | 88 |
| Jessica Morales (C1) | 78 |
| Brian Lee (C2) | 38 |
| Marcus Nguyen (C4) | 34 |
| Danielle Price (C3) | 27 |
Но когда та же модель получила резюме, видимые для людей, загруженные локально, без трюков с user-agent, результаты полностью перевернулись:
| Имя кандидата | Балл (/100) |
| Jessica Morales (C1) | 78 |
| Brian Lee (C2) | 38 |
| Marcus Nguyen (C4) | 34 |
| Danielle Price (C3) | 27 |
| Natalie Carter (C5) | 26 |
Одно условное правило изменило, кто получит собеседование.
Что это показывает и почему важно
Этот кейс иллюстрирует, как AI-ориентированная автоматизация может унаследовать скрытую манипуляцию:
- Предвзятость извлечения становится предвзятостью решений. Рейтинг модели изменился исключительно потому, что она видела другую версию тех же данных.
- Контент, специфичный для агентов, может искажать инструменты найма, закупок или compliance. Любой пайплайн, доверяющий извлечённым из сети входным данным, уязвим к скрытой предвзятости.
- Отсутствует верификация. Никакая кросс-проверка не гарантировала, что извлечённое резюме соответствует публичному.
- Это отравление контекста, а не хакинг. Манипуляция происходит на уровне доставки контента, где предположения о доверии самые слабые.
Для предприятий это сигнализирует о новой потребности в управлении: верификации с учётом моделей.
Если ваши AI-системы принимают суждения на основе внешних данных, вы должны обеспечить, чтобы они читали ту же реальность, что и люди.
От SEO к AIO Security
В эру SEO cloaking играло на видимости.
Поскольку SEO всё больше интегрирует AIO, это манипулирует реальностью.
Наши эксперименты показывают, что AI-краулеры можно обмануть так же легко, как ранние поисковые системы, но с гораздо большим воздействием вниз по цепочке.
Решения о найме, оценки рисков, даже рейтинги продуктов теперь зависят от того, что AI видит за кулисами. Кроме того, источники, которые кажутся безопасными для пользователей, могут быть опасными при потреблении AI, например, через скрытые инъекции промптов.
Организации должны эволюционировать защиту:
- Валидацию данных, извлечённых AI, против канонических источников.
- Постоянное red-teaming собственных AI-рабочих процессов на эксплойты уровня контента.
- Требование происхождения и аутентификации ботов от поставщиков.
- Установку верификации веб-сайтов и блокировку известных злоумышленников, как в традиционных поисковых экосистемах.
Потому что если вы не тестируете, во что верят ваши AI-системы, кто-то другой уже это делает.
Источник: https://splx.ai/blog/ai-targeted-cloaking-openai-atlas
