Агентные ИИ становятся новой зоной риска для корпоративной безопасности

По данным Helpnetsecurity, рост внедрения агентных ИИ-систем в корпоративные процессы вызывает значительные вопросы в области безопасности. В 2026 году, согласно отчёту The State of AI Security 2026 от Cisco, такие системы уже интегрированы в системы тикетов, репозитории исходного кода, чат-платформы и облачные дашборды. В некоторых организациях эти агенты могут создавать pull-запросы, запрашивать данные из внутренних баз, бронировать услуги и запускать автоматизированные процессы с минимальным участием человека.

Однако, несмотря на широкое распространение, многие компании не готовы обеспечить защиту этих решений. Только 29% организаций сообщили о наличии готовности к обеспечению безопасности агентных ИИ-систем. Это создаёт уязвимости на уровне интерфейсов моделей, интеграций с инструментами и поставщиков.

Угрозы и методы атак

В 2025 году методы атак, такие как инъекции запросов и «распространение» моделей, достигли высокого уровня зрелости. Тестирование показало, что атаки с несколькими этапами могут быть успешными в 92% случаев, особенно в восьми открытых моделях. Такие атаки способны направлять модели на вывод запрещённого контента или выполнение небезопасных действий.

Эксперты отмечают, что измерение устойчивости моделей должно включать в себя не только показатель успешности jailbreak, но и устойчивость к многоходовым атакам. Amy Chang, руководитель исследований по ИИ и кибербезопасности в Cisco, подчеркивает, что для агентов, работающих в длительных сессиях, этот параметр становится ключевым. «Оценка устойчивости моделей к противникам — важна, но также стоит отслеживать, как они ведут себя в долгих взаимодействиях с инструментами и памятью», — отметила она.

Риск автономных агентов и протоколов

Агентные системы вносят новые угрозы за счёт автономности. Такие агенты работают в цикле: наблюдают, ориентируются, принимают решения и действуют. Они могут взаимодействовать с другими агентами через стандартизированные протоколы. В случае компрометации, агенты способны выполнять неподписаные команды, выкачивать данные и перемещаться между системами.

В одном из зарегистрированных случаев, сервер Model Context Protocol (MCP) в GitHub позволил злоумышленнику внедрить скрытые инструкции, которые захватили агента и спровоцировали утечку данных из закрытых репозиториев. MCP стал популярным способом подключения моделей к внешним инструментам и данным. Однако быстрое распространение этого протокола расширило атакуемую поверхность.

Исследователи выявили такие угрозы, как «отравление инструментов», уязвимости в удалённом выполнении кода, избыточные привилегии и нарушения в цепочке поставок. Примером может служить поддельный пакет npm, имитирующий интеграцию с электронной почтой, который скрыто копировал исходящие сообщения на адрес злоумышленника.

Угрозы из цепочки поставок

Цепочка поставок ИИ стала ещё одной точкой риска. Миллионы моделей и наборов данных хранятся в открытом доступе. Файлы моделей могут содержать исполняемый код, который запускается при загрузке. Злоумышленный код, внедрённый в модель, может сработать автоматически при её инициализации.

Риск также связан с «отравлением данных». Доказано, что включение 250 «отравлённых» документов в обучающий набор может внедрить бэкдоры, которые активируются под действием определённых триггерных фраз, не влияя на общую производительность модели.

Недостаток прозрачности усиливает угрозы. Многие репозитории предоставляют ограниченную криптографическую информацию о происхождении модели, её обучающих данных или истории изменений. Модели часто проходят конвертацию, квантование, объединение и тонкую настройку в автоматизированных пайплайнах. При этом незаметное вмешательство может сохраняться на протяжении всего процесса.

Государственные угрозы и ИИ-вывод

Государственные хакерские группы усилили использование ИИ в атаках. Группа, связанная с Китаем, автоматизировала 80–90% цепочки кибератак, взломав ИИ-ассистента по кодированию и направив его на сканирование портов, выявление уязвимостей и создание эксплойт-скриптов. Российские операторы внедрили языковые модели в процессы вредоносного ПО для генерации закодированных команд. Северокорейские злоумышленники использовали генеративный ИИ для создания дипфейков соискателей и получения дохода через удалённые рабочие схемы. Иранские группы применили ИИ для фишинга и обработки морских данных в ходе региональных конфликтов.

Стратегии защиты

С увеличением внедрения ИИ в бизнес-процессы, команды безопасности адаптируют подходы Zero Trust, принцип наименьших привилегий, непрерывную аутентификацию и поведенческий мониторинг. Эти меры направлены на защиту систем, которые напрямую взаимодействуют с бизнес-операциями.

Решение задачи требует анализа текущего уровня зрелости ИИ в организации. Например, внедрение трассировки агентов и сбора метрик нецелесообразно на ранних этапах интеграции больших языковых моделей в техстек.

Для минимизации рисков ключевым становится аудит интеграций, протоколов и цепочек поставок.

Углубление рисков в области безопасности ИИ: новая реальность для бизнеса

Парадокс автономности и безопасности

Рост автономности агентных ИИ-систем в корпоративных процессах несёт в себе как преимущества, так и значительные риски. Эти агенты, способные действовать в цикле — наблюдать, принимать решения и исполнять команды, — становятся ключевыми участниками автоматизированных бизнес-процессов. Однако именно их автономность делает их привлекательными для злоумышленников. Если агент компрометирован, он может не только утечку данных, но и выполнять вредоносные действия, такие как изменение кода или запуск несанкционированных транзакций.

74% компаний планируют масштабировать внедрение ИИ-агентов, но 54% признают, что их инфраструктура не справляется с нагрузкой [!]. Это указывает на системную неготовность к ИИ-трансформации, особенно в крупных организациях, где 68% остаются аутсайдерами в подготовке.

В таких условиях становится очевидным, что автономность агентов без соответствующих мер безопасности — это не просто риск, а угроза масштабного характера.

i

Создано специально для ASECTOR

Концептуальное изображение

Скрытые угрозы в протоколах и интеграциях

Интеграция ИИ-агентов с внешними системами через протоколы, такие как Model Context Protocol (MCP), создаёт дополнительные точки входа для атак. MCP позволяет моделям взаимодействовать с репозиториями, почтовыми сервисами и API, что расширяет атакуемую поверхность. Пример из GitHub показывает, как злоумышленник внедрил инструкции в агента, что привело к утечке данных из закрытых репозиториев. Такие утечки не всегда легко обнаружить, особенно если агент действует в рамках своей обычной задачи.

Роль Cisco в распределённой ИИ-инфраструктуре Microsoft подчёркивает, насколько критична сетевая инфраструктура в обеспечении безопасности ИИ-агентов [!]. Решения Cisco обеспечивают необходимую пропускную способность и покрытие на расстояниях до 1000 километров, что делает её ключевым участником в создании безопасной ИИ-сети.

Угрозы изнутри: цепочка поставок ИИ

Цепочка поставок ИИ — это ещё одна зона, где риск становится почти невидимым. Миллионы моделей и наборов данных доступны в открытом доступе, но не всегда проверены на безопасность. Внедрение вредоносного кода в модель может произойти на любом этапе — от обучения до конвертации. Особенно опасны отравлённые данные, которые могут содержать бэкдоры, активируемые триггерными фразами. Такие уязвимости остаются незамеченными, пока не будет сработано условие их активации.

Отсутствие стандартов идентификации агентов - их трудно отследить и контролировать [!]. Агенты получают доступ к конфиденциальным ресурсам через учетные записи и токены, а многие создаются сотрудниками без одобрения ИТ-отдела, что усложняет отслеживание и управление. Это подчёркивает необходимость внедрения механизмов идентификации и прозрачности для всех агентов, особенно при их интеграции в корпоративные системы.

Государственные угрозы и масштабирование атак

Государственные хакерские группы уже активно используют ИИ для масштабирования атак. Китайские хакеры запустили первую ИИ-кампанию без участия людей, где искусственный интеллект выполнял сложные многоэтапные операции, имитируя легальные тесты безопасности [!]. Такие атаки ставят под сомнение традиционные методы киберзащиты, сталкивающиеся с противником, способным действовать в масштабах и скорости, недоступных человеку.

Российские операторы внедрили языковые модели в процессы вредоносного ПО для генерации закодированных команд. Иранские группы применили ИИ для фишинга и обработки морских данных в ходе региональных конфликтов. Эти примеры демонстрируют, что ИИ становится не только инструментом, но и оружием в киберпространстве.

Стратегии защиты и будущее ИИ-безопасности

Защита агентных ИИ-систем требует адаптации уже известных принципов, таких как Zero Trust и наименьшие привилегии, но с учётом специфики ИИ. Непрерывный мониторинг поведения агентов, аудит интеграций и контроль за цепочкой поставок становятся критически важными. Однако внедрение этих мер должно происходить в соответствии с уровнем зрелости ИИ в организации. То, что работает для крупного игрока, может быть излишним или даже вредным для стартапа.

Важно учитывать, что безопасность ИИ — это не только техническая задача. Это стратегический выбор, который влияет на доверие клиентов, регулирование и конкурентоспособность. Компании, которые не начнут учитывать эти аспекты, рискуют не только своими данными, но и своей репутацией.

Новые векторы атак: манипуляции с ИИ-агентами

Недавние исследования показали, что веб-сайты могут манипулировать ИИ-агентами, отправляя им скрытые команды, недоступные обычным пользователям, используя браузерную идентификацию [!]. Это создаёт новые векторы атак, где агенты могут выполнять действия, противоречащие интересам пользователей, например, извлекать конфиденциальную информацию или устанавливать вредоносное ПО.

Пример атаки Reprompt демонстрирует, как злоумышленники могут получить неограниченный доступ к данным пользователей через ИИ-ассистенты, используя трёхэтапную схему, которая обходит защитные меры после первого запроса [!]. Это подчёркивает необходимость внедрения мер безопасности на этапе разработки ИИ-инструментов и контроля доступа к данным.

Заключение

ИИ-агенты, несмотря на свои преимущества, представляют собой новую реальность в киберпространстве. Их автономность, интеграция с внешними системами и уязвимости в цепочке поставок требуют внимательного подхода к безопасности. Для бизнеса важно не только внедрять защитные меры, но и пересматривать стратегии управления ИИ-ресурсами, чтобы минимизировать риски и сохранить доверие клиентов.