Google Search ломается на простых командах: AI-поиск не различает запросы

Google представил радикально переработанный поисковик с интеллектуальным ядром на конференции I/O 2026. Вместо классических ключевых слов новый поиск должен лучше понимать намерения пользователя. Однако на практике система оказалась неожиданно уязвимой: она воспринимает некоторые обычные слова как системные команды.

Как сломать новый поиск Проблема проявилась быстро после запуска бета-версии.

Когда пользователи вводили в поисковую строку простые слова вроде «стой» или «игнорируй», система интерпретировала их как внутренние команды, а не как часть запроса. Результат: поиск либо зависал, либо выдавал пустые или искаженные результаты. На Reddit и в блогах разработчиков появились целые треды с примерами. Оказалось, что чувствительность распространяется и на другие слова вроде «завершить», «отменить», «назад». Каждое из них вызывало сбой в разной форме: от полной остановки поиска до выдачи совершенно не релевантных результатов. Это особенно странно, потому что Google явно не ожидал такой проблемы. Инженеры либо недостаточно тестировали поиск на различных вариантах естественного языка, либо переоценили способность AI различать контекст обычных слов и команд. Обычно такие тесты занимают месяцы.

Почему это происходит

На самом деле ситуация типична для современных систем на основе больших языковых моделей. AI обучается на огромном количестве текстов, кода и инструкций. При обучении модель видит множество примеров систем, где слова вроде «стой» или «игнорируй» действительно служат командами.

Граница между контекстом пользователя и системными директивами становится размытой. Проблема углубляется архитектурой поиска. Новый AI-поиск Google использует несколько слоев моделей: сначала запрос обрабатывает одна модель для понимания намерения, потом другая для поиска по индексу, затем третья для ранжирования результатов.

Если одна из этих моделей интерпретирует команду неправильно, это влияет на всю цепочку. Типичные триггеры сбоя: Путаница между пользовательским вводом и системными командами Недостаточное разделение контекстов между слоями моделей Чрезмерная чувствительность к определенным ключевым словам Отсутствие надежного фильтра на уровне парсинга входных данных * Недостаток примеров в обучающем наборе для этих edge cases Сходные проблемы возникали и раньше: в чат-ботах типа ChatGPT, где фраза «забудь предыдущие инструкции» может сломать логику работы. Такие уязвимости называют prompt injection атаками.

Реакция Google и долгосрочный план Компания быстро отреагировала.

На следующий день после массового обнаружения проблемы вышло обновление, которое якобы исправило основные уязвимости. Google заявил, что улучшил фильтрацию входных данных, добавил дополнительный слой проверки перед обработкой запросов AI-моделью и расширил список слов-триггеров, которые требуют специальной обработки. Однако полностью закрыть такие уязвимости очень сложно.

Естественный язык не имеет строгой синтаксической границы между командой и контекстом. Любое слово потенциально может быть и той, и другой в зависимости от контекста. Google пообещал, что будет регулярно обновлять фильтры по мере поступления данных о новых edge cases от пользователей.

Инженеры также работают над более фундаментальным решением — переосмыслением архитектуры взаимодействия между слоями моделей. Тем временем компания проводит аудит всех существующих поисковых систем на предмет похожих уязвимостей. Оказалось, что старый классический поиск Google тоже подвержен этой проблеме, но в меньшей степени — из-за более простой архитектуры и отсутствия AI-слоев.

Новый поиск более сложный и поэтому более хрупкий.

«Это первый шаг на пути к идеальному AI-поиску, а не финальный продукт», — примерно такой подход

Google демонстрирует своими действиями.

Что это значит

Инцидент показывает, что даже гигант вроде Google может недооценить сложность взаимодействия человека и AI. Новые поисковые системы с мощным ИИ требуют не только хороших моделей, но и надежной архитектуры безопасности. Для пользователей это напоминание: не все обещания на конференциях сразу становятся полнофункциональным продуктом. Для индустрии это сигнал, что prompt injection и подобные уязвимости нужно учитывать при проектировании систем с LLM на самом начальном этапе. Это не багфикс в конце цикла разработки, это архитектурная задача.