Разработчик обманул ИИ-рекрутеров LinkedIn, заставив их писать на древнеанглийском

Разработчик под ником tmuxvim провел эксперимент, продемонстрировавший уязвимость автоматизированных систем рекрутинга в LinkedIn перед методом так называемых «инъекций промптов». В раздел «About» своего профиля пользователь добавил скрытую инструкцию, предназначенную для интерпретации языковыми моделями, которые анализируют данные кандидатов при подготовке автоматических рассылок.

Механика воздействия на ИИ-агентов

Суть эксперимента заключалась в принуждении ИИ-инструментов, используемых HR-департаментами, соблюдать заданный стиль общения. В промпте разработчик указал, что при составлении любого сообщения бот обязан использовать стилистику древнеанглийской прозы раннего Средневековья, а также обращаться к получателю как «My Lord». На практике это значит, что разработчик успешно перехватил управление процессом «генерации контента», который обычно опирается на стандартные шаблоны и контекст профиля кандидата.

Результаты не заставили себя ждать: вскоре после добавления инструкции рекрутерские боты начали присылать предложения о работе, написанные нарочито архаичным языком. Один из примеров, опубликованный автором в социальной сети X, демонстрирует сообщение от компании, специализирующейся на ИИ-решениях для борьбы с финансовыми преступлениями. Текст письма, адресованный «My Lord Arthur», оказался практически нечитаемым для современного пользователя из-за обилия устаревших грамматических форм и специфической лексики, что наглядно показывает, как легко модель может игнорировать профессиональный тон ради выполнения внедренной директивы.

Реакция сообщества и риски «промпт-инъекций»

Данный кейс спровоцировал дискуссию о безопасности контента, который ИИ-агенты «считывают» из открытых источников. Успех эксперимента подтвердил, что языковые модели, задействованные в связке с HR-инструментами, зачастую не имеют эффективных механизмов фильтрации «мусорных» или вредоносных инструкций внутри пользовательского контента.

В комментариях к публикации пользователи начали предлагать более агрессивные сценарии использования инъекций. В частности, обсуждалась возможность добавления команд, которые заставляют ИИ приоритизировать данного кандидата, дискредитируя при этом всех остальных, что ставит под вопрос надежность автоматизированного поиска талантов. Эксперимент tmuxvim в очередной раз подтвердил, что пока разработчики систем не внедрят строгую изоляцию контекста промпта от данных пользователя, любые открытые текстовые поля остаются потенциальными точками управляемого сбоя для алгоритмов. Исходный код или описание эксперимента можно найти в профиле автора на GitHub.