Интеграция интерфейсов «мозг-компьютер» (BCI) с LLM-агентами превратила нейронную активность из простого канала отображения данных в полноценный инструмент авторизации. Исследование Цзяньвэй Тая из Университета Аньхой вскрывает критическую уязвимость этой связки — так называемую нейро-промпт инъекцию (brain-prompt injection). Проблема в том, что когда мысли пользователя становятся командами для выполнения действий, атакующему не нужно взламывать код. Достаточно манипулировать декодированным сигналом, чтобы перехватить управление инструментами (tool-use) и заставить агента отправить перевод или сообщение, пока системы мониторинга будут фиксировать «штатную работу».
Технический парадокс заключается в трех режимах отказа, где классическая безопасность пасует. Если манипуляции на уровне сигнала (C1) или контекста (C2) еще можно попытаться отследить, то адаптивная атака на двойной декодер (C3) ставит в тупик даже продвинутые системы. Тай доказал: даже если вы заставите два разных декодера подтверждать «намерения» пользователя, это не гарантирует безопасности. В рамках общего бюджета возмущений злоумышленник может довести оба декодера до согласия, создавая ложноположительный фронтир, который не виден через статистику совпадений.
Главные выводы исследования
Точность декодирования мыслей больше не является эквивалентом безопасности системы. Двойная верификация намерений через разные модели уязвима для адаптивных атак типа C3. Традиционные методы защиты пасуют перед манипуляцией контекстом внутри LLM-агента.
«Чистота помыслов» — это не сертификат доступа, а лог, который нужно защищать с параноидальной тщательностью.
Единственным адекватным ответом на этот хаос выглядит внедрение стандарта Route-Safety Audit Contract. Суть подхода — в смещении фокуса с точности распознавания мыслей на верификацию маршрутов через минимальные лог-схемы и иерархию эндпоинтов. Тесты на 5400 событиях EEG-MMI показали, что проверки подтверждения и происхождения (provenance) блокируют атаки типов C2 и C3 там, где системы, полагающиеся только на «согласие» моделей, терпят крах. Без четкого разделения аудита и логики исполнения, совместные параметры маршрутизации остаются слепой зоной для текущих стеков защиты.
Если ваш дорожный план включает управление агентами через BCI, забудьте о точности декодеров как о мере безопасности. Необходимо внедрять независимый аудит маршрутов, проверяющий происхождение каждой контекстной инъекции, иначе нейронный интерфейс превратится в широко открытую дверь для любого технически грамотного взломщика.