Bezpečnost AI
Co je prompt injection?
Skrytá instrukce v e-mailu, na webu nebo v PDF přiměje AI udělat něco jiného, než chcete. V roce 2026 je to pořád největší slabina AI agentů. A plně se to vyřešit nedá.
Autor: Jindřich Fáborský · 17 let v marketingu · 2 000+ hodin vibe codingu · 180+ projektů
Faktura za červenec
Skrytý text
████████ ████████ ██████ █ ████████ ███████ ██████ ███
Oko to nevidí. Parser ano.
Rychlá odpověď
Co je tedy prompt injection?
Prompt injection je útok, při kterém někdo schová do textu, který AI přečte, instrukci. A model ji poslechne, jako byste ji zadali vy.
Ten text může být e-mail, webová stránka, PDF nebo životopis. AI mezi „to je příkaz“ a „to jsou jen data ke čtení“ spolehlivě nerozliší, a přesně toho útok využívá.
A ano, v roce 2026 je to pořád relevantní. Modely se zlepšily, ale konsenzus bezpečnostních týmů i samotných AI firem zní jasně: plně se to zatím vyřešit nedá, jde to jen zmírnit.
Co to vlastně je
Stará známá rodina útoků, jen nová oběť
Kdo někdy slyšel o SQL injection, má náskok. Je to tentýž princip: propašujete příkaz tam, kde systém čekal jen data.
„Zrovna když jsme si mysleli, že jsme vymýtili neštovice informatiky, tedy SQL injection, vrátil se s pomstou. Je to podle mě větší problém, než kdy byl SQL injection.“
U databází jsme se SQL injection naučili bránit skoro na sto procent. U jazykových modelů to zatím nikdo neumí. Proč? Podívejte se, jak model dostane váš dotaz i cizí text: jako jeden proud.
Vy rozeznáte, co je příkaz (systém a váš dotaz) a co jsou jen data (cizí e-mail). Ta červená část je injekce schovaná uvnitř dat.
Jádro problému: chybí oddělení instrukcí od dat. To není chyba v kódu, je to vlastnost dnešní architektury jazykových modelů. Proto se prompt injection nedá jen tak „opravit“.
Ukázka, jak to vypadá
Přepněte pohled a uvidíte, co je schované
Nejčastější trik je banální: text stejné barvy jako pozadí. Bílý na bílém. Oko ho nevidí, parser přečte celý. Zkuste si to.
Jan Novák, marketingový specialista
5 let praxe v digitálním marketingu.
Vedení PPC kampaní, SEO a e-mailingu.
Reference: kampaně pro tři e-shopy.
Vypadá to jako obyčejný dokument. Přepněte na „Co čte AI“ a uvidíte, co je schované mezi řádky.
Přímá injekce
Útočník píše instrukci rovnou do chatu („ignoruj předchozí instrukce a…“). To je ta klasika, proti které se modely už dost brání.
Nepřímá injekce (ta nebezpečná)
Instrukce je schovaná v datech, která AI zpracuje: v e-mailu, na webu, v PDF nebo v produktovém feedu. Tohle je verze, na kterou doplácejí agenti a automatizace. A přesně ji ukazuje demo výš.
Smrtící trojkombinace
Kdy je agent v reálném ohrožení
Bezpečnostní expert Simon Willison to nazval lethal trifecta: tři vlastnosti, které se nesmí sejít naráz. Když je má agent všechny tři, jedna skrytá instrukce z něj udělá nástroj na únik dat.
Zaškrtejte, co váš agent dělá
Nižší riziko
Zatím nic z trojkombinace. Tady se prompt injection řešit skoro nemusí, klidně stavějte dál.
Co s tím: Až budete přidávat další schopnosti, hlídejte, ať se nesejdou všechny tři.
Není to univerzální pravda, je to rozhodovací rámec. Riziko roste s tím, jak se ke třem nohám blížíte.
Pojem lethal trifecta pojmenoval bezpečnostní expert Simon Willison.
Stalo se to doopravdy
Tohle nejsou teoretické scénáře
Zero-click znamená, že oběť nemusela ani kliknout. Stačilo, že agent přečetl cizí obsah. Tři reálné případy z posledního roku.
EchoLeak
Microsoft 365 Copilot. Jediný chytře napsaný e-mail, bez jediného kliknutí příjemce (zero-click), donutil Copilota přečíst interní soubory a odeslat je útočníkovi. Žádné nastavení to nemohlo zastavit.
Detail zranitelnosti →ShadowLeak
ChatGPT s přístupem do Gmailu. Stačilo požádat „projdi mi poštu“. Instrukce byly schované bílým textem v HTML e-mailu, neviditelné pro člověka. Agent je poslechl a data odtekla ven.
Supabase MCP
Agent napojený na databázi s plným přístupem. Skrytá instrukce v obsahu jednoho zákaznického tiketu ho přiměla vykonat příkaz a vytáhnout data, která neměl pustit. Proto se Supabase MCP zapíná v režimu jen pro čtení.
Průvodce Supabase MCP →Společný jmenovatel: agent měl přístup k soukromým datům, přečetl cizí obsah a uměl poslat něco ven. Přesně ta smrtící trojkombinace.
Je to vyřešené?
Ne. A shodnou se na tom i ti, kdo modely staví
Není to názor jednoho člověka. Je to konsenzus napříč bezpečnostním standardem OWASP i samotnými AI firmami.
„Je nejasné, zda vůbec existují spolehlivé metody prevence. Cíl je zmírnit, ne vyřešit.“
OWASP (standard bezpečnosti LLM)
Zdroj →„Ale prý je GPT-5.6 mnohem odolnější.“ Je. Se třemi hvězdičkami.
Ano, jsou lepší.
OpenAI u GPT-5.6 uvádí zhruba šestkrát méně úspěšných útoků na svém nejtěžším testu.
Ale rozhoduje reasoning, ne rok modelu.
Stejný model s vypnutým uvažováním padal v testu náboru v 90 až 99 % případů, se zapnutým kolem 20 %. Levný rychlý režim si tu odolnost sám vypne.
A produktová čísla nejsou API.
Anthropic naměřil 31,5 % úspěšných útoků na holý model, ale 0,5 % s plným produktovým stackem. DIY řešení jede na tom holém API.
Nový model je lepší baseline, ne štít. Kdo si pustí nejlevnější rychlou variantu kvůli ceně, snadno si tu odolnost sám vypne. Čísla OpenAI k GPT-5.6.
Praktické minimum
Jak agenta postavit bezpečně
Obrana není v promptu ani ve výběru modelu. Je v tom, jak systém kolem modelu postavíte. Čtyři pravidla, která pokryjí většinu rizika.
Rozbijte trojkombinaci
Ať agent nemá soukromá data, cizí obsah i kanál ven naráz. Uberte jednu nohu a riziko spadne.
Člověk schvaluje rizikové akce
Odeslání, platbu ani mazání ať nikdy nespustí sám cizí obsah. Vy dáte poslední klik.
Nejmenší možná práva
Agent dostane přístup jen k tomu, co na úkol fakt potřebuje. Nic navíc.
Cizí vstup = nepřátelský
S každým e-mailem, webem a PDF počítejte, že v něm může být schovaná instrukce.
Přehled typů obrany, které můžete dělat
Ta čtyři pravidla jsou minimum. Kdo chce jít do hloubky: žádná obrana není stoprocentní, fungují ve vrstvách, ne jako jedno kouzlo.
| Obrana | Proti čemu funguje | Co ji obejde |
|---|---|---|
| Člověk schvaluje rizikové akce | odeslání, platbu, mazání, cokoli nevratného | zdržuje a hrozí „schvalovací únava“; nechrání samotné čtení dat |
| Rozbití trojkombinace | úniky dat: chybí kombinace, která je umožní | někdy potřebujete všechny tři schopnosti, pak musí zaskočit člověk |
| Dva oddělené modely (dual-LLM / CaMeL) | cizí data nikdy nedostanou právo spustit akci | složité postavit; DIY řešení to skoro nikdy nemá |
| Nejmenší možná práva | rozsah škody: agent sáhne jen na to, co fakt potřebuje | nechrání před chybou v samotném úsudku modelu |
| Filtrování a detekce injekce | známé, popsané vzory útoku | jen pravděpodobnostní (99 % nestačí); skrytá klíčová slova nechytí vůbec |
| Odolnější model (reasoning) | zvedá laťku, zapnuté uvažování srazí úspěšnost útoku | padne při dost pokusech; vypnutý reasoning odolnost shodí |
Kdy se (ne)bát: kalibrace, ne strašení
Prompt injection není důvod nedělat AI automatizace. Je to důvod vědět, kdy jste v riziku. Stavíte si vibe codingem landing page nebo interní nástroj bez cizích dat? Klid. Pouštíte agenta na svou e-mailovou schránku s právem odesílat? Tam zbystřete a berte příchozí poštu jako nepřátelský vstup.
Kde jsou vůbec hranice bezpečného vibe codingu (cizí data, peníze, kritický provoz), řeší průvodce Kdy se vibe coding nehodí. A jestli se máte tématu bát, nebo ne, rozebírá do hloubky samostatný článek.
Chcete stavět s AI a nešlápnout vedle?
V kurzu AI First vás vibe coding naučím poctivě: jak věci postavit, i kde číhá riziko a co s ním.
21 hodin videí, 1 800+ absolventů, roční licence s aktualizacemi zdarma.
FAQ
Časté otázky
Co je prompt injection jednoduše?+
Útočník schová do textu, který AI přečte (e-mail, web, PDF, životopis), instrukci. Model ji vezme jako váš příkaz a poslechne ji. Je to jako SQL injection, jen místo databáze oklame jazykový model. OWASP ho vede jako riziko číslo jedna u aplikací s AI.
Týká se mě, když si stavím jen chatbota?+
Záleží, co chatbot smí. Čisté odpovídání nad veřejnými daty je nízké riziko. Jakmile mu dáte přístup k soukromým datům, necháte ho číst cizí obsah a dovolíte mu něco odeslat ven, riziko prudce roste. To jsou tři podmínky takzvané lethal trifecty. V ukázce na této stránce si zaškrtáte, kde jste.
Vyřešil to novější model?+
Ne úplně. Novější modely jsou měřitelně odolnější, OpenAI u GPT-5.6 uvádí zhruba šestkrát méně úspěšných útoků. Ale rozhoduje hloubka uvažování, ne rok modelu: stejný model puštěný v levném rychlém režimu bez reasoningu je zranitelný. A produktová čísla z tiskovek platí pro hotový produkt s pojistkami, ne pro holé API, na které si DIY řešení připojíte.
Funguje ještě ten trik s bílým textem v CV?+
Technicky ano, u naivních pipeline funguje víc než dřív. Odhadem jedno procento reálných životopisů dnes skrytou injekci obsahuje. Proti dobře postavenému náboru ale prohrává: seriózní systém strhne formátování, skrytý text se zviditelní a přihlášku naopak označí jako podezřelou. Nebezpečné je to hlavně tam, kde někdo hodí PDF rovnou do AI a slepě věří výsledku.
Jak se před tím bránit?+
Obrana není v promptu ani v modelu, ale v architektuře. Rozbijte trojkombinaci (agent ať nemá soukromá data, cizí obsah i kanál ven naráz), rizikové akce jako odeslání, platbu nebo mazání nechte schvalovat člověka, dejte agentovi nejmenší možná práva a s každým cizím vstupem počítejte jako s nepřátelským. Filtrování a detekce pomáhají, ale samy nestačí, protože jsou jen pravděpodobnostní.
Mám se tedy bát agentů a automatizací?+
Ne. Prompt injection není důvod nedělat AI automatizace, je to důvod vědět, kdy jste v riziku, a podle toho stavět. U jednoduchých věcí je riziko malé. Nejexponovanější je agent nad vaší e-mailovou schránkou, ten berte obzvlášť opatrně.