Випадок із ІІ-чат-ботом залізничного оператора Eurostar, у якому фахівці Pen Test Partners виявили одразу кілька серйозних вразливостей, наочно демонструє: впровадження генеративного ШІ без зрілих процесів кібербезпеки та коректного реагування на повідомлення про загрози створює для компаній як технічні, так і репутаційні ризики.
Eurostar та цифрові клієнтські сервіси як ціль для атак
Eurostar Group керує мережею високошвидкісних поїздів, що з’єднують Великобританію з континентальною Європою через тунель під Ла-Маншем. Щороку сервіс обслуговує близько 19,5 млн пасажирів між Лондоном, Парижем, Брюсселем, Амстердамом та іншими хабами. Для такого масштабу бізнесу веб-сайт, мобільні застосунки та чат-боти стають критично важливими цифровими каналами, а отже — привабливою атакуваною поверхнею для кіберзлочинців.
Як дослідники знайшли проблеми в ІІ-чат-боті Eurostar
За даними Pen Test Partners, вразливості були виявлені випадково: один з дослідників купував квиток на сайті Eurostar і звернув увагу на підозріло слабкі обмеження в поведінці чат-бота підтримки на базі генеративного ІІ. Зазвичай такі системи використовують guardrails — захисні «рейки», що не дозволяють моделі виходити за рамки визначених сценаріїв та розкривати внутрішні дані.
Ключовий архітектурний недолік полягав у тому, що система перевіряла на безпеку лише останнє повідомлення у діалозі. Попередні репліки користувача повторній фільтрації не підлягали. Маніпулюючи історією спілкування на своїй стороні та розуміючи, як формується промпт для моделі, дослідники змогли обійти захист і змусити ІІ проігнорувати частину вбудованих обмежень.
Prompt-інʼєкція та розкриття внутрішніх інструкцій LLM
Після обходу фільтрів фахівці застосували техніку prompt-інʼєкції — коли в контекст діалогу додаються інструкції, що перекривають або змінюють системні правила моделі. У результаті чат-бот розкрив свої внутрішні настанови та повідомив, на якій моделі працює: під «капотом» використовувалася GPT‑4.
Напади на контекст, зокрема prompt-інʼєкції, сьогодні віднесені ENISA, NIST та іншими регуляторами до базових загроз для систем на основі великих мовних моделей (LLM). Вони вимагають не лише технічних контрзаходів (фільтрація, нормалізація контексту, сегментація прав доступу), а й організаційних політик безпечного використання генеративного ШІ.
Технічний аналіз: HTML-інʼєкції та помилки з ID сесій
HTML-інʼєкція: фішинг через інтерфейс чат-бота
Подальше тестування показало, що чат-бот Eurostar вразливий до HTML-інʼєкцій. Зловмисник міг сформувати повідомлення так, щоб у вікні чату відобразився довільний HTML-код: підроблені кнопки оплати, форми введення, фішингові посилання, візуально не відмінні від легітимного функціоналу сервісу.
Це створює пряму загрозу крадіжки облікових даних, реквізитів платіжних карт та перенаправлення користувачів на шкідливі ресурси. Для компанії подібні інциденти означають ризик втрати довіри до бренду, відтоку клієнтів і потенційних штрафів регуляторів у разі витоку персональних даних, особливо в контексті вимог GDPR.
Некоректна перевірка ID чатів: загроза доступу до чужих діалогів
Ще одна проблема стосувалася обробки ідентифікаторів чатів і повідомлень. За інформацією дослідників, система неналежно перевіряла відповідність ID сесії конкретному автентифікованому користувачу. Теоретично це відкривало можливість підміни контенту в чужому діалозі або перегляду інформації, не призначеної даному клієнтові.
Такі логічні помилки близькі до класу Insecure Direct Object References (IDOR), який послідовно фігурує в оглядах OWASP як одна з найнебезпечніших вразливостей бізнес-логіки. У транспортній галузі, де через чат-бот обговорюються маршрути, персональні дані та оплати, наслідки подібної помилки можуть бути критичними.
Конфлікт навколо розкриття вразливостей та звинувачення у шантажі
Pen Test Partners вперше повідомили Eurostar про виявлені проблеми 11 червня 2025 року, однак відповіді не отримали. Після місяця безуспішних спроб зв’язатися через офіційні канали дослідники знайшли в LinkedIn контакт керівника з безпеки Eurostar і направили звіт безпосередньо.
За версією компанії, на той момент обробку повідомлень про вразливості було віддано на аутсорс, а первинне звернення нібито не збереглося. Дослідникам порадили скористатися новою веб-формою програми розкриття вразливостей, хоча, за їхніми словами, вони вже це робили. Це закономірно викликало питання, чи не були втрачені й інші звіти у процесі переходу.
На одному з етапів комунікації представники Eurostar, як стверджують дослідники, інтерпретували наполегливі нагадування про первинний лист як «шантаж». Pen Test Partners відкинули ці звинувачення, посилаючись на принципи coordinated vulnerability disclosure, описані у стандартах ISO/IEC 29147 та ISO/IEC 30111. Зрештою Eurostar знайшла вихідний лист, визнала проблему та усунула «частину» виявлених вразливостей, після чого дослідникам дозволили опублікувати технічний звіт.
Уроки для бізнесу: безпека генеративного ШІ — це не лише модель
Кейс Eurostar показує, що ризики генеративного ІІ пов’язані не тільки з якістю самої моделі, а й з усією інфраструктурою навколо неї: валідацією вводу, архітектурою діалогів, безпечною обробкою HTML, жорсткою прив’язкою ID сесій до користувачів, логуванням і зрілою програмою розкриття вразливостей. Помилка на будь-якому з цих рівнів може нівелювати інвестиції в захист LLM.
Для компаній у високоризикових галузях — транспорт, фінанси, державні послуги — доцільно до запуску в продакшн проводити повноцінне тестування ІІ-чат-ботів, включно з перевіркою на prompt-інʼєкції, HTML-інʼєкції, IDOR та інші типові вразливості OWASP. Варто впроваджувати багаторівневі фільтри контенту, чітко зв’язувати ідентифікатори чатів з автентифікацією, регулярно проводити незалежні аудити безпеки ІІ-сервісів і підтримувати прозору програму розкриття вразливостей із визначеними SLA реакції. Сприйняття дослідників як партнерів, а не загрози, суттєво знижує шанси, що подібні інциденти переростуть у реальні атаки з відчутними наслідками для бізнесу та клієнтів.
