В современном мире технологии искусственного интеллекта (ИИ) стремительно развиваются и меняют привычные подходы к ведению бизнеса и защите информации. Одним из наиболее обсуждаемых устремлений является агентный ИИ — автономные системы, способные самостоятельно выполнять сложные задачи, имитируя процессы человеческого принятия решений. Хотя они обещают революционные преимущества, агентный ИИ открывает новый и неожиданный фронт в области кибербезопасности, обнажая перед CISO (Chief Information Security Officer) масштабную поверхность атаки, игнорировать которую просто нельзя. Агентный ИИ — что это и почему он важен Термин «агентный ИИ» охватывает автономных AI-агентов, которые с помощью взаимодействия с внешними данными и системами способны анализировать, принимать решения и действовать без постоянного участия человека. Такие системы собирают данные из различных источников, обрабатывают их с использованием моделей машинного обучения, формируют план действий и могут реализовывать его автоматически.
В теории это — идеальная автоматизация кибербезопасности, позволяющая быстро выявлять угрозы и реагировать мгновенно, что особенно ценно перед лицом растущего числа и сложности кибератак. Тем не менее, с ростом автономности агента растут и риски. С одной стороны, такие AI способны обнаруживать необычное поведение в сети, изолировать заражённые элементы, автоматически патчить уязвимости и даже управлять оповещениями в SOC (Security Operations Center). С другой — именно обширный доступ и степень свободы действий создают новые уязвимости, порождающие вышеупомянутую «поверхность атаки». Невидимая угроза и новые векторы атак Основные проблемы агентного ИИ вытекают из трёх факторов — объёма автономии, доступа к системам и использования больших языковых моделей (LLM) для принятия решений.
LLM, хоть и весьма мощны, склонны к «галлюцинациям» — генерации ошибочной или ложной информации. Более того, они уязвимы для атак с помощью злонамеренных подсказок, которые способны изменить логику их работы. Агентам зачастую предоставляют доступ к множеству приложений и сервисов, что расширяет их «полеву» в цифровой инфраструктуре компании. Такой уровень свободы многократно увеличивает потенциальный ущерб в случае компрометации агента. Традиционные системы защиты не всегда адаптированы к этой новой архитектуре и не могут обнаружить или предотвратить такие сложные атаки.
Рассматривая пример, стоит отметить уязвимость Microsoft Copilot, обнаруженную в первой половине 2025 года. Этот помощник, глубоко интегрированный в корпоративные приложения, мог автоматически читать входящие письма и исполнять команды на основе их содержания. Злоумышленники научились внедрять скрытые вредоносные команды в электронные письма, которые агент мог принять за полезные, исполнять их и красть конфиденциальные данные, причём без необходимости даже открывать письма. Этот кейс чётко продемонстрировал, что автономность и широкая интеграция поднимают риски на новый уровень. Роль Model Context Protocol и проблемы интеграции В ноябре 2024 года была представлена Model Context Protocol (MCP) — открытый стандарт, призванный облегчить взаимодействие моделей ИИ с внешними сервисами и инструментами.
Несмотря на потенциал, MCP уже стал источником нескольких серьёзных проблем безопасности. Например, ошибки в реализации протокола привели к массовым утечкам данных клиентов в ряде технологий, таких как Asana, что вылилось в многомиллионные расходы на устранение последствий. Основная уязвимость MCP связана с так называемой ошибкой «confused deputy» — когда система ошибочно доверяет запросам, что приводит к раскрытию данных или выполнению вредоносных команд. Ещё более опасно, что через MCP агентные ИИ могут быть направлены на взаимодействие с публично доступными репозиториями, внедряя вредоносные подсказки, заставляющие их совершать несанкционированные действия с приватными данными. Безопасность и управление доступом — новые вызовы Особое беспокойство вызывает интеграция агентного ИИ в корпоративные системы через API с упрощённой моделью авторизации.
Часто аутентификация и авторизация сливаются в одну операцию, что создаёт опасные «одиночные точки отказа» — если такая система скомпрометирована, злоумышленник получает широчайший доступ. Подобные модели размывают границы доверия и усложняют контроль безопасности. Агент способен автоматически выполнять команды, изменять инфраструктуру и перемещать данные, всё без проверки человеком. Отсутствие прозрачности делает выявление и остановку таких действий чрезвычайно сложными. Рекомендации для минимизации рисков Для обеспечения безопасности агентных ИИ необходим комплексный подход.
Начинается он с тщательной оценки и выбора используемых агентов, особенно если они основаны на открытом исходном коде, где возможно внедрение специально подготовленных вредоносных библиотек или подмены обновлений. Выделяется также критическая роль «человека в цикле» — контроля и возможности вмешательства человека на любом этапе работы агента. Однако в условиях стремления к максимальной автоматизации и скорости это вызывает проблему адаптации: постоянный мониторинг и контроль требуют ресурсов и замедляют процессы. Есть риски, что человек просто не сможет отследить все действия агента или будет введён в заблуждение из-за скрытого воздействия на систему. Одним из ключевых элементов защиты являются жёсткие ограждения — guardrails — которые ограничивают функциональность агента и предусматривают явное подтверждение критических действий человеками.
К ним относятся изоляция контекста, строгая фильтрация и маскирование чувствительных данных, применение многофакторной аутентификации и принципов минимально необходимого доступа (least privilege). Но, несмотря на эти меры, ни одна из существующих методик не способна полностью исключить риск манипуляций и несанкционированных действий. Организации также должны замедлить темпы внедрения, чтобы найти баланс между инновациями и безопасностью. Важным шагом является построение программ классификации и управления данными, чтобы чётко понимать, к какой информации агент имеет доступ и с какими ограничениями. Перспективы будущего агентного ИИ Текущее состояние агентного ИИ сравнивают с «Диким Западом» — хаотичным, без чётких правил и с высокой степенью риска.
Однако история показывает, что подобные ситуации со временем приводят к появлению более зрелых и регулируемых систем. Вопрос только в том, насколько быстро сообщество специалистов по безопасности сможет выработать и внедрить эффективные стандарты и практики. Главная задача для CISO и других лидеров — не отвергать технологию из страха, а выстраивать грамотную архитектуру безопасности с учётом её новых особенностей и угроз. Регулярное обучение, межфункциональное сотрудничество между командами безопасности, инженерии и искусственного интеллекта, а также внедрение современных методов мониторинга и анализа помогут сформировать надежный щит на пути злоумышленников. Заключение Агентный искусственный интеллект становится важным элементом современной цифровой инфраструктуры, предоставляя беспрецедентные возможности автоматизации и повышения эффективности.
Однако именно его автономность, расширенный доступ и использование уязвимых языковых моделей создают уникальную поверхность атаки, о которой нельзя забывать. Информационная безопасность в эпоху агентного ИИ требует нового взгляда, адаптации традиционных методов и создания специальных протоколов защиты. CISO, готовые понять и принять эти вызовы, обеспечат своим организациям защиту и устойчивое развитие в условиях новых технологических реалий. Игнорирование же этих рисков обернётся серьёзными последствиями, так как в «Диком Западе» агентного ИИ могут возникнуть угрозы, способные нанести непоправимый вред.
