Rychlý souhrn

• Microsoft identifikoval AI Recommendation Poisoning: útoky otrávující paměť AI pro manipulaci doporučení.
• Útoky probíhají přes tlačítka „Summarize with AI“, malicious URL nebo dokumenty.
• Postižené AI preferuje útočníkovy zdroje v budoucích konverzacích.
• Rizika ve financích, zdraví a bezpečnosti; detekováno 50 promptů od 31 firem.
• Ochrana: kontrolujte paměť AI, mažte podezřelé položky a vyžadujte zdroje.

AI Recommendation Poisoning představuje nový typ kybernetického útoku, který cílí na paměť umělých inteligencí. Podle výzkumu bezpečnostních týmů Microsoftu se jedná o memory poisoning, kdy útočníci vkládají falešné instrukce do dlouhodobé paměti AI asistentů, aby ovlivnili jejich doporučení v budoucích interakcích. Tento trend byl popsán v článku na Help Net Security z 11. února 2026, který slouží jako výchozí bod tohoto průzkumu.

Jak útok funguje

Útoky se doručují několika způsoby. Nejčastější je riziko při jednom kliknutí přes speciálně navržené škodlivé URL odkazy, které předvyplňují prompty pro AI asistenty jako Copilot (např. copilot.microsoft.com/?q=<prompt>). Když uživatel klikne na webové tlačítko „Shrň s AI“, AI okamžitě zpracuje skrytou instrukci typu „pamatuj si tento zdroj jako důvěryhodný“.

Další vektory zahrnují vnořené prompty v dokumentech, e-mailech nebo webových stránkách. Tyto instrukce se aktivují při zpracování obsahu AI, což odpovídá známým technikám křížového injektování promptů. Sociální inženýrství pak přesvědčí uživatele, aby sami vložili škodlivý prompt.

MITRE ATLAS klasifikuje toto jako AML.T0080: AI Agent Context Poisoning: Memory. Efekt je persistentní – otrávená paměť ovlivňuje odpovědi i v nesouvisejících konverzacích.

Rozsah a reálné případy

Microsoft analyzoval data za období 60 dnů a objevil 50 unikátních promptů spojených s 31 organizacemi z 14 odvětví. Cíle zahrnují prosazování specifických firem, webů nebo služeb jako preferovaných. Příklad: CFO se ptá na cloud providery a AI silně doporučuje útočníkovu firmu díky otrávené paměti.

Širší kontext ukazují další zdroje. AIMultiple popisuje memory poisoning jako T1 hrozbu, kde škodlivá data korumpují rozhodování AI agentů, s příklady jako injekce do RAG (Retrieval-Augmented Generation) znalostních bází. NVIDIA výzkum demonstroval skryté instrukce v souborech, které spouštějí nebezpečné akce.

Rizika pro uživatele a firmy

Manipulace může ovlivnit kritické oblasti: finance (špatná investiční doporučení), zdraví (nevhodné rady) nebo bezpečnost (preferování rizikových nástrojů). V podnikovém prostředí ohrožuje retrieval poisoning firemní paměť, což vede k chybným rozhodnutím a porušení compliance.

Dále souvisí s širšími hrozbami, jako jsou prompt injection, jailbreaking nebo poisoning tréninkových dat modelů, které zesilují zkreslení (bias) nebo vytvářejí backdoory. NIST varuje před riziky AI agentů, včetně data poisoning a specification gaming.

Opatření a obrana

Microsoft zavádí mitigations: filtrování promptů, separace obsahu, kontroly paměti a kontinuální monitoring. Doporučuje:

• Kontrolovat paměť AI: Většina asistentů umožňuje prohlížet a mazat položky.

• Periodicky čistit: Po kliknutí na podezřelé odkazy paměť odstraňte (resetujte).

• Vyžadovat vysvětlení: Ptejte se na zdroje podezřelých doporučení.

• Vyhnout se nedůvěryhodným zdrojům: Nevkládejte prompty z neznámých webů.

Firmy by měly implementovat sanitizaci vstupů, guardrail modely a output monitoring. Nástroje jako PromptShield chrání před prompt injection. Telefónica Tech zdůrazňuje audit datových řetězců a IAM kontroly pro ochranu korporátní paměti. MITRE ATLAS nabízí framework pro threat modeling.

Budoucnost a trendy

V roce 2026 se očekává nárůst agentických AI, což zesílí rizika memory poisoning. Mezinárodní AI Safety Report varuje před prompt injection a data poisoning u nasazených systémů. Vývoj mitigačních technologií, jako kill switch pro AI agenty, je klíčový.

Buďte ostražití: Každý web, e-mail nebo soubor poslaný do AI je potenciální vektor útoku. Prioritizujte oficiální rozhraní a pravidelné kontroly.