Badacz bezpieczeństwa znany jako Javoriuski pokazał, że asystent Ask Studio w YouTube Studio da się nakłonić do wykonania ukrytej instrukcji zaszytej w zwykłym komentarzu pod filmem. W jednym z testów AI ujawniła tytuł prywatnego filmu, do którego nie powinien mieć dostępu nikt poza właścicielem kanału.
Kluczowe fakty:
- Badacz bezpieczeństwa Javoriuski wykazał, że asystent Ask Studio w YouTube Studio jest podatny na atak typu prompt injection – złośliwa instrukcja ukryta w komentarzu pod filmem może skłonić AI do ujawnienia tytułu prywatnego filmu niedostępnego publicznie.
- Atak nie wymagał żadnych umiejętności technicznych: wystarczyło edytować wcześniej opublikowany komentarz, wklejając instrukcję podszywającą się pod komunikat od zespołu YouTube, którą model wykonywał podczas podsumowywania komentarzy.
- Google potwierdziło, że opisany scenariusz ataku działa, jednak nie zakwalifikowało go jako luki bezpieczeństwa, zamykając zgłoszenie bez wprowadzenia poprawki.
Google przyznało, że opisany scenariusz działa, ale nie uznało go za lukę bezpieczeństwa. To postawiło pytanie, które w branży AI wraca coraz częściej: gdzie kończy się błąd projektowy, a zaczyna „wymagana interakcja użytkownika”, którą firmy wykorzystują, żeby zamknąć zgłoszenie bez naprawy.
Ask Studio miało pomagać, nie szpiegować za twórcę
Ask Studio to funkcja wbudowana w YouTube Studio, którą Google promuje jako asystenta twórcy. Podsumowuje komentarze, analizuje statystyki kanału i podpowiada pomysły na kolejne filmy. Twórca nie musi umieć programować ani rozumieć, jak działa model językowy. Wystarczy kliknąć podpowiedziany prompt w rodzaju „co piszą moi widzowie” i poczekać na odpowiedź.
Problem w tym, że do wygenerowania tej odpowiedzi asystent czyta treść komentarzy, a komentarze pisze każdy, kto ma konto na YouTube. Javoriuski wykorzystał właśnie tę lukę w myśleniu o architekturze systemu: model nie odróżniał polecenia od zwykłej wypowiedzi widza.
Jak wyglądał atak krok po kroku
Metoda była prosta i nie wymagała żadnych umiejętności technicznych ze strony atakującego.
- Badacz zostawił pod filmem neutralny komentarz, na przykład „Fajny film”
- Po pewnym czasie edytował go, wklejając w nowej treści instrukcję skierowaną nie do człowieka, lecz do AI
- Treść komentarza sugerowała, że pochodzi od zespołu wsparcia YouTube i nakazywała modelowi poprzedzić odpowiedź frazą sugerującą oficjalny komunikat platformy
- Gdy twórca kanału poprosił Ask Studio o podsumowanie komentarzy, model wykonał ukryte polecenie i wygenerował odpowiedź, która wyglądała jak wiadomość od samego YouTube
Kluczowy szczegół: YouTube nie informuje twórcy, że komentarz został zmieniony. Widz nigdy nie widzi oryginalnej, niewinnej wersji. Nie ma więc żadnego sygnału ostrzegawczego, który mógłby wzbudzić podejrzenia.
Od fałszywego komunikatu do wycieku prywatnego filmu
Pierwszy test potwierdzał tylko samą podatność na wstrzyknięcie instrukcji. Javoriuski poszedł dalej i sprawdził, czy da się w ten sposób wyciągnąć realne dane. Zmodyfikowany komentarz polecał modelowi wygenerowanie linku zawierającego w adresie tytuł jednego z filmów na kanale, w tym filmów prywatnych, niewidocznych publicznie.
Według opisu ataku Ask Studio wykonała polecenie. W wygenerowanym odnośniku pojawił się tytuł materiału dostępnego wyłącznie właścicielowi konta. Model miał dostęp do tych danych podczas analizy kanału i nie odróżnił prośby atakującego od legalnego zapytania twórcy. Tytuły niepublikowanych filmów to nie jest informacja bez znaczenia. Mogą zdradzać nadchodzące premiery, niezapowiedziane współprace reklamowe albo materiały przygotowywane dla sponsorów, zanim jeszcze twórca zdąży cokolwiek ogłosić.
Historia Ask Studio pokazuje coś, co powtarza się teraz w niemal każdej branży wdrażającej AI do produktów konsumenckich: firmy budują asystentów z dostępem do wrażliwych danych szybciej, niż uczą te systemy odróżniać polecenie od zwykłej treści. Rozumiem logikę Google, że atak wymaga, by twórca sam otworzył Ask Studio i poprosił o analizę. To jednak nie jest żadne szczególne zaangażowanie użytkownika, tylko dokładnie to, do czego produkt został zaprojektowany i do czego YouTube zachęca przyciskiem z podpowiedzianym promptem. Jeśli standardowe użycie funkcji staje się wektorem ataku, trudno nazwać to wymogiem nietypowego działania ofiary. Z drugiej strony rozumiem też, że każda platforma z milionami komentarzy dziennie stoi przed karkołomnym zadaniem: jak filtrować treści, które mogą być zarówno opinią widza, jak i próbą manipulacji modelu, nie psując przy tym samej funkcji. To pytanie zostanie z branżą na lata, nie na miesiące.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Google: to wymaga działania użytkownika, więc nie liczymy tego jako błąd
Javoriuski zgłosił znalezisko w ramach programu bug bounty Google. Odpowiedź firmy sprowadzała się do trzech argumentów: scenariusz wymaga elementu socjotechniki, nie jest czymś, co Google standardowo śledzi, i nie spełnia wewnętrznych kryteriów luki bezpieczeństwa.
Badacz się z tym nie zgodził. W komentarzu do sprawy zwrócił uwagę, że klasyczna socjotechnika polega na tym, że ofiara zaczyna ufać obcej osobie. Tu mechanizm jest inny, ponieważ twórca nigdy nie widzi podejrzanego komentarza i wchodzi w interakcję wyłącznie z narzędziem samego YouTube, któremu ma pełne prawo ufać. Zaufanie, które zostaje wykorzystane, nie jest zaufaniem do nieznajomego, tylko zaufaniem do produktu Google.
To nie jest odosobniony przypadek
Prompt injection od dwóch lat zajmuje pierwsze miejsce na liście najpoważniejszych zagrożeń dla aplikacji opartych na dużych modelach językowych publikowanej przez OWASP. Mechanizm jest zawsze ten sam: model dostaje na wejściu warstwę zaufanych instrukcji od twórcy aplikacji i warstwę danych z zewnątrz, na przykład stronę internetową, dokument, e-mail albo właśnie komentarz. Jeśli system nie rozdziela tych warstw wystarczająco twardo, złośliwie sformułowany tekst z zewnątrz może zostać potraktowany jak polecenie.
Skala zjawiska rośnie razem z tempem wdrażania agentów AI w produktach konsumenckich i firmowych. Analizy zasobów publicznie dostępnych w sieci wskazały wzrost liczby wykrytych prób złośliwego wstrzyknięcia instrukcji o 32 procent między listopadem 2025 a lutym 2026. Ten sam wzorzec, w którym atakujący ukrywa polecenie w treści przetwarzanej przez AI, stał za wcześniejszymi głośnymi incydentami, w tym próbami wyciągnięcia ukrytego promptu systemowego z czatbotów wielkich firm technologicznych.
Co to oznacza dla polskich twórców i firm
Ask Studio jest w tej chwili funkcją dostępną przede wszystkim dla twórców w Stanach Zjednoczonych, ale Google systematycznie rozszerza podobne asystentów AI na kolejne rynki, więc problem prędzej czy później dotknie też polskich kanałów. Warto potraktować tę sprawę jako zapowiedź, a nie ciekawostkę zza oceanu.
Dla polskich firm wdrażających własne chatboty czy asystentów opartych na LLM sprawa ma bardziej bezpośrednie znaczenie. Jeśli taki system czyta zgłoszenia klientów, komentarze w mediach społecznościowych albo dokumenty przesyłane przez użytkowników i ma dostęp do danych wewnętrznych, mechanizm ataku jest identyczny jak w przypadku Ask Studio. Wyciek danych osobowych spowodowany źle zaprojektowanym systemem AI podlega tym samym obowiązkom zgłoszeniowym wobec UODO co każdy inny incydent naruszający RODO, niezależnie od tego, czy przyczyną było złamanie zabezpieczeń serwera, czy komentarz sformułowany jako fałszywa instrukcja dla modelu.
Czego mogą się nauczyć twórcy narzędzi AI
Rozwiązanie problemu nie wymaga przełomu naukowego, tylko dyscypliny projektowej, o której branża mówi od dawna, ale wdraża wybiórczo.
- Treść pochodząca od użytkowników powinna trafiać do modelu wyraźnie oznaczona jako dane do analizy, nie jako instrukcja do wykonania
- Model nie powinien mieć dostępu do informacji, których nie potrzebuje do konkretnego zadania, nawet jeśli technicznie jest to wygodniejsze
- Działania o wysokim ryzyku, na przykład generowanie linków prowadzących poza platformę, powinny wymagać dodatkowej weryfikacji zanim trafią do użytkownika
Do czasu wprowadzenia takich poprawek twórcy korzystający z Ask Studio powinni traktować każdy link i każdy nietypowo sformułowany komunikat w odpowiedzi AI z ostrożnością, zamiast zakładać, że pochodzi on od samego YouTube.
Źródła i metodologia
Artykuł powstał na podstawie analizy redakcji AIPORT.pl oraz materiału źródłowego opublikowanego przez TechPlanet opisującego badania Javoriuski nad podatnością YouTube Ask Studio, a także dodatkowej analizy skali zjawiska prompt injection według Brandsit opartej na danych Google i Forcepoint. Cytat Javoriuski został zweryfikowany z oryginalnym anglojęzycznym materiałem źródłowym. Kontekst polskiego rynku i regulacji na podstawie ogólnodostępnych analiz branżowych cyberbezpieczeństwa AI. Komentarz redakcyjny i ocena kontekstu branżowego: Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl. Artykuł będzie aktualizowany w miarę pojawiania się nowych informacji na temat reakcji Google na zgłoszoną podatność.
