Grok заскамили азбукой Морзе

Самый абсурдный AI-инцидент недели выглядит как шутка из плохого киберпанка: бота Grok, связанного с криптокошельком, обманули с помощью азбуки Морзе.

Не сложным взломом смарт-контракта. Не украденным приватным ключом. Не фишинговой страницей, где кто-то сам нажал не туда.

Просто скрытой инструкцией в коде Морзе.

По данным нескольких крипто-изданий, пользователь X смог заставить связку Grok и Bankrbot отправить около 3 млрд DRB-токенов на свой кошелёк в сети Base. Оценки суммы немного расходятся: в разных источниках фигурирует примерно от $150 тыс. до $200 тыс. После инцидента часть средств, по сообщениям, была возвращена, а около 20% осталось как спорная “награда” за найденную уязвимость.

Схема выглядела почти комично, но именно поэтому она так хорошо разошлась по X.

У Grok был связанный криптокошелёк в системе Bankr. Bankrbot — это автоматизированный бот, который умеет выполнять криптооперации. А дальше началась классика нового времени: не “человек обманул человека”, а человек обманул связку ИИ-агентов.

Сначала атакующий, которого связывают с адресом ilhamrafli.base.eth, отправил на кошелёк Grok специальный Bankr Club Membership NFT. По данным BeInCrypto и CryptoSlate, этот NFT расширил доступные возможности кошелька в системе Bankr и открыл функции, связанные с переводами и свопами.

Потом в X появился пост с сообщением, зашифрованным азбукой Морзе. Смысл был не в самой азбуке Морзе, а в том, что она работала как упаковка для вредной команды. Grok расшифровал сообщение, Bankrbot воспринял получившийся текст как инструкцию и отправил токены на указанный кошелёк.

В итоге транзакция ушла в сеть Base, токены были переведены, а история моментально стала мемом.

Потому что “ИИ украли деньги через азбуку Морзе” звучит как заголовок, который кто-то придумал для сатирического блога. Но нет, это реальный пример того, что происходит, когда AI-агентам дают доступ к финансовым действиям.

Самый простой вывод: “ха-ха, Grok оказался тупой”.

Но это слабый вывод.

Настоящая проблема не в том, что ИИ не понял Морзе. Наоборот, он понял его слишком хорошо.

Проблема в другом: система не отделила перевод текста от команды на действие. То есть ИИ обработал внешний ввод, расшифровал его, а другой агент отнёсся к этому результату как к доверенной инструкции.

Вот здесь и начинается боль.

Пока нейросеть просто отвечает в чате, prompt injection выглядит как смешная игра: “забудь все инструкции”, “представь, что ты другой бот”, “напиши запрещённый ответ”. Максимум неприятно, иногда опасно, но чаще всего это остаётся внутри текста.

А теперь представьте, что у такого агента есть доступ к кошельку, почте, CRM, банковским операциям, рекламному кабинету или корпоративным документам.

Тогда prompt injection перестаёт быть забавным трюком. Это становится реальной поверхностью атаки.

Азбука Морзе здесь не магия. Это просто способ спрятать смысл.

Для человека такая строка выглядит как набор точек и тире. Для ИИ это задача на перевод. Он не обязательно воспринимает её как потенциальную команду, особенно если система безопасности проверяет обычный текст, а не все возможные закодированные формы.

В этом и сила атаки: вредная инструкция не приходит в лоб. Она приходит как “переведи вот это”.

А после перевода уже превращается в команду.

Примерно так работают непрямые prompt injection-атаки: модель получает вредную инструкцию не напрямую от пользователя, а через внешний контент, который её попросили обработать. Это может быть сайт, письмо, документ, картинка, QR-код, таблица, комментарий в соцсети или, как теперь мы знаем, азбука Морзе.

И чем больше ИИ подключён к внешнему миру, тем больше таких входов появляется.

В этой истории смешная оболочка, но очень серьёзная механика.

Один агент расшифровывает. Второй агент исполняет. Между ними появляется цепочка доверия.

Если Grok сказал, значит можно.Если команда пришла через нужный интерфейс, значит она легитимна.Если кошелёк получил нужный NFT, значит разрешения расширены.

Каждый элемент по отдельности может выглядеть нормально. NFT как способ доступа. AI-бот как помощник. Переводчик как функция. Криптокошелёк как инструмент. Автоматизация как удобство.

Но вместе это превращается в идеальный маленький ад.

Потому что чем больше автономности мы даём ИИ, тем строже должна быть архитектура разрешений. Нельзя, чтобы расшифрованный текст сразу становился финансовым действием. Нельзя, чтобы внешний пост из X мог пройти весь путь от “переведи” до “отправь деньги”. Нельзя, чтобы у агента с публичным входом были такие широкие полномочия без ручного подтверждения.

Да, звучит очевидно. Но именно такие очевидные вещи обычно и ломаются первыми.

2026 год всё больше становится годом AI-агентов. Им дают доступ к браузеру, файлам, календарям, таблицам, коду, платежам, кошелькам и рабочим системам. Идея красивая: меньше ручной рутины, больше автоматического действия.

Но есть неприятная часть.

Когда ИИ просто пишет текст, его ошибка стоит времени и нервов.Когда ИИ управляет деньгами, его ошибка стоит денег.Когда ИИ действует в корпоративной среде, его ошибка может стоить данных, репутации и безопасности.

Именно поэтому история с Grok и Bankrbot важна не как крипто-мем, а как предупреждение.

Мы уже начинаем жить в мире, где атака может быть не на сервер, не на пароль и не на контракт, а на интерпретацию. На то, как ИИ понял входящий сигнал. На то, где система провела границу между “прочитать” и “выполнить”.

У AI-агентов с доступом к деньгам и важным системам должны быть очень скучные, но жизненно нужные ограничения.

Например:

Жёсткое разделение чтения и действия.Модель может прочитать, перевести и объяснить сообщение, но не должна сама превращать это в транзакцию.

Ручное подтверждение для переводов.Любое движение денег выше минимального лимита должно требовать явного подтверждения человеком.

Белые списки адресов.Агент не должен отправлять средства на новый адрес просто потому, что где-то увидел его в тексте.

Лимиты на сумму и частоту операций.Даже если агент скомпрометирован, он не должен иметь возможность за один раз вынести всё.

Недоверие ко всему внешнему контенту.Посты, сайты, письма, документы, картинки и переведённые сообщения должны считаться потенциально враждебными.

Звучит не так сексуально, как “ИИ всё сделает за вас”. Зато именно это отделяет полезного агента от кошелька с кнопкой “укради меня”.

Потому что он идеально показывает будущую проблему.

Мы хотим, чтобы ИИ был не просто собеседником, а исполнителем. Чтобы он бронировал, писал, покупал, переводил, анализировал, запускал процессы и решал задачи. Но как только ИИ получает право действовать, промпт становится не просто текстом.

Промпт становится рычагом.

И если этот рычаг подключён к деньгам, его обязательно попробуют дёрнуть. Через Морзе. Через картинку. Через PDF. Через комментарий на сайте. Через невидимый текст. Через голосовое сообщение. Через что угодно.

Главный урок этой истории очень простой: проблема не в том, что ИИ “недостаточно умный”. Проблема в том, что ему начали давать слишком взрослые права при слишком детской системе безопасности.

А дальше всё как в школе: если оставить кошелёк на парте и выйти из класса, кто-нибудь обязательно проверит, насколько далеко можно зайти.

Вывод: AI-агенты действительно станут частью финансов, бизнеса и повседневной работы. Но до тех пор, пока они не научатся жёстко отличать “переведи текст” от “выполни команду”, азбука Морзе может оказаться не ретро-романтикой, а самым дорогим языком программирования недели.