Кажется, пора поговорить о неприятном. Многие до сих пор держат prompt injection где-то в папке с "забавными джейлбрейками" и странными трюками против чат-ботов. Что-то вроде любопытной, но не самой срочной проблемы. Но вот февраль и март 2026 года очень наглядно показали, к чему приводит такое отношение, когда яд попадает в контекст агента, у которого есть доступ к shell, CI/CD, пакетным менеджерам и секретам, последствия перестают быть теоретическими. Хороший пример — история Clinejection. 17 февраля 2026 года в экосистеме Cline произошёл supply-chain инцидент: в npm был опубликован cline@2.3.0, и этот релиз успел прожить около восьми часов. За это время он разошёлся примерно на 4000 установок. Официальный постмортем Cline отдельно уточняет, что бинарник CLI не менялся, а в пакет был добавлен postinstall, который ставил OpenClaw; VS Code-расширение и JetBrains-плагин под инцидент не попали. Но сам факт остался фактом: вредонос зарелизился в доверенном канале. Самое интересное здесь — как именно всё началось: Входной точкой оказался обычный заголовок GitHub issue. У репозитория был AI-триажер на базе Claude, который мог запускаться для любого пользователя GitHub и имел доступ к Bash и другим инструментам. Заголовок issue подставлялся в prompt как есть. Этого хватило, чтобы подсунуть агенту инструкцию, заставить его выполнить установку attacker-controlled пакета, дальше через cache poisoning добраться до nightly-пайплайна и в итоге получить путь к публикации релиза. То есть вся история стартовала буквально с текста, который система восприняла как команду. И ровно на этом фоне особенно громко прозвучал свежий инцидент с LiteLLM. 24 марта 2026 года на PyPI появились скомпрометированные версии litellm==1.82.7 и 1.82.8. По официальному сообщению проекта, вредоносный код собирал переменные окружения, SSH-ключи, cloud credentials, Kubernetes-токены и пароли к базам, а затем отправлял данные на посторонний домен. Под ударом могли оказаться локальные окружения, CI/CD, Docker-сборки и любые проекты, где LiteLLM подтягивался без жёсткого пиннига версии. При этом LiteLLM Cloud и официальный Docker-образ, по заявлению команды, затронуты не были. Datadog и Snyk связывают этот кейс с более широкой цепочкой supply-chain атак, которая тянулась через компрометацию Trivy и других инструментов. Если свести обе истории к одной мысли, то она очень неприятная. На сегодняшний день, да и на ближайшее время, модели LLM оперируют только входящим текстом. И в этом входящем тексте очень сложно расставить правильные акценты, которые отделят инструкцию от данных. И это эксплуатируемый вектор атаки. К сожалению, сейчас нет достаточно надежных способов этого избежать, потому что текст является очень бедной модальностью. Заголовок issue, комментарий, prompt, описание инструмента, произвольный кусок контекста — всё это надо считать untrusted input, если рядом есть агент с правами что-то запускать, собирать, публиковать или читать секреты. История с Cline показывает, как prompt injection доезжает до supply chain через агентный workflow. История с LiteLLM показывает, что дальше компрометируется уже сама AI-инфраструктура, на которой половина индустрии строит свои пайплайны. И это я еще ни слова не сказал об OpenClaw и аналогах, бум которых начался феврале 2026 года. Просто экстраполируйте риски самостоятельно, либо почитайте любой нагуглившийся анализ безопасности по этой теме. Будьте внимательны и осторожны, проверяйте, куда вы пускаете своих агентов, разделяйте потоки выполнения, не обновляйте зависимости без аудита и нужды, и да прибудет с вами сила тока. статья про Clinejection пресс-релиз LiteLLM