Инцидент с ИИ-чат-ботом железнодорожного оператора Eurostar, в котором специалисты Pen Test Partners обнаружили сразу несколько уязвимостей, наглядно показывает, насколько рискованно внедрять генеративный ИИ без выстроенных процессов кибербезопасности и корректного реагирования на сообщения об угрозах.
Eurostar и цифровизация пассажирских сервисов
Eurostar Group управляет сетью высокоскоростных поездов, соединяющих Великобританию с континентальной Европой через тоннель под Ла-Маншем. Сервис ежегодно перевозит порядка 19,5 млн пассажиров между Лондоном, Парижем, Брюсселем, Амстердамом и другими крупными узлами. Для таких компаний цифровые каналы обслуживания клиентов — веб-сайт, мобильные приложения и чат-боты — становятся критически важной частью клиентского опыта и, одновременно, привлекательной целью для атак.
Как были обнаружены проблемы в ИИ-чат-боте Eurostar
По данным Pen Test Partners, уязвимости были найдены случайно: один из исследователей пытался приобрести билет через сайт Eurostar и заметил подозрительно слабые ограничители в работе ИИ-чат-бота поддержки. Обычно такие системы используют «защитные перила» (guardrails), не позволяющие модели выходить за рамки сценариев обслуживания и раскрывать внутренние данные.
Ключевой архитектурный дефект заключался в том, что система проверяла на безопасность только последнее сообщение в цепочке диалога. Предыдущие реплики, уже отправленные пользователем, повторной фильтрации не проходили. Исследователи отредактировали историю диалога на своей стороне и, воспользовавшись тем, как формируется промпт для модели, смогли обойти защиту и заставить ИИ проигнорировать встроенные ограничения.
Prompt-инжект: раскрытие внутренних инструкций и модели
После успешного обхода фильтров специалисты применили технику prompt-инжекта — внедрения в контекст общения специальных инструкций, которые подменяют или отменяют системные правила. В результате чат-бот раскрыл свои внутренние указания и сообщил, на базе какой модели работает. Ответ показал, что «под капотом» используется GPT‑4.
Подобные атаки на контекст — один из ключевых классов угроз для генеративного ИИ. Согласно обзорам ENISA и NIST, prompt-инжекты уже считаются типовой проблемой безопасности LLM-систем и требуют как технических, так и организационных мер защиты.
Технический анализ выявленных уязвимостей
HTML-инъекция: риск фишинга и внедрения вредоносного кода
Дальнейшее тестирование показало, что чат-бот Eurostar уязвим к HTML-инъекциям. Иными словами, злоумышленник мог сформировать сообщение таким образом, чтобы в интерфейсе чата отобразился произвольный HTML-код — от подделанных кнопок и форм до фишинговых ссылок, визуально похожих на официальный функционал сервиса.
Для пользователей это означает реальную угрозу кражи учетных данных, данных платежных карт или перенаправления на вредоносные сайты. Для компании — риск компрометации бренда, потерь клиентов и возможных штрафов со стороны регуляторов в случае утечек.
Отсутствие проверки ID чатов: возможность вмешательства в чужие диалоги
Еще одна проблема касалась обработки идентификаторов сообщений и чатов. Система, по сообщению исследователей, не выполняла корректную проверку соответствия ID сессии конкретному пользователю. Теоретически это открывало путь к внедрению вредоносного контента в чужие диалоги или просмотру информации, не предназначенной данному клиенту.
Подобные логические ошибки относятся к классу уязвимостей, близких к Insecure Direct Object References (IDOR), регулярно фигурирующих в отчётах OWASP как одна из наиболее опасных категорий бизнес-логики. В контексте транспорта, где через чат-боты могут обсуждаться поездки, персональные данные и платежная информация, последствия такой уязвимости потенциально критичны.
Конфликт вокруг раскрытия уязвимостей и обвинения в шантаже
Pen Test Partners впервые уведомили Eurostar об обнаруженных проблемах 11 июня 2025 года, но не получили ответа. После месяца безуспешных попыток связаться по официальным каналам исследователи нашли в LinkedIn контакт руководителя по безопасности Eurostar и направили сообщение напрямую.
К этому моменту, по версии компании, обработка отчетов об уязвимостях уже была передана на аутсорс, а данные о первоначальном уведомлении якобы отсутствовали. Исследователям предложили воспользоваться программой раскрытия уязвимостей через новую веб-форму, хотя, по их словам, они уже это сделали ранее. Аналитики справедливо поставили вопрос, не были ли утеряны и другие отчеты при переходе на новую систему.
На одном из этапов коммуникации представители Eurostar, по утверждению исследователей, попытались трактовать настойчивые напоминания о первоначальном письме как «шантаж». Pen Test Partners отрицали наличие каких-либо угроз, указывая, что действовали в логике добросовестного раскрытия уязвимостей (coordinated vulnerability disclosure), описанной в стандартах ISO/IEC 29147 и ISO/IEC 30111.
В конечном итоге Eurostar нашла оригинальное письмо, признала проблемы и устранила «некоторые» из выявленных уязвимостей, после чего исследователи получили возможность опубликовать отчет.
Ключевые уроки для компаний, внедряющих генеративный ИИ
Ситуация с Eurostar демонстрирует, что риски генеративного ИИ связаны не только с самой моделью, но и с обвязкой: валидацией ввода, архитектурой диалогов, безопасной обработкой HTML, проверкой идентификаторов сессий и надежным логированием. Ошибка в одном из этих слоёв может обнулить все усилия по защите модели.
Для компаний, особенно в высокорисковых отраслях — транспорт, финансы, госуслуги — целесообразно:
- проводить полноценное тестирование ИИ-чат-ботов на уязвимости до вывода в продакшн;
- внедрять многоуровневые фильтры контента и защиту от prompt-инжектов и HTML-инъекций;
- жестко связывать идентификаторы чатов и сообщений с аутентификацией пользователя;
- поддерживать прозрачную и устойчивую к сбоям программу раскрытия уязвимостей, с четким SLA ответов;
- выстраивать сотрудничество с исследовательским сообществом, а не воспринимать отчеты как угрозу.
История Eurostar — показательный пример того, что внедрение ИИ-сервисов без комплексного взгляда на кибербезопасность и процессы реагирования может привести к техническим и репутационным рискам. Чем активнее бизнес использует генеративный ИИ для обслуживания клиентов, тем важнее регулярно проводить независимые аудиты, пересматривать архитектуру защиты и выстраивать зрелую работу с сообщениями об уязвимостях, пока инциденты не превратились в реальные атаки.
