Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Февраль 2026   |   Обзор события   | 5

Теневой ИИ против вас: как AI double agent становится новой киберугрозой

Масштабное внедрение ИИ-агентов в корпоративные системы формирует новую категорию угроз — AI double agent, когда злоумышленники захватывают легитимные агенты для нелегитимных целей, обходя традиционные меры безопасности. Microsoft показывает, что теневые агенты и методы вроде memory poisoning создают скрытые каналы доступа к критическим данным, что требует пересмотра подходов к управлению ИИ как к цифровой идентичности с полным циклом контроля.

Обзор
ИСХОДНЫЙ НАРРАТИВ

Риски внедрения ИИ-агентов в корпоративных средах: Microsoft предупреждает о новом типе угрозы

По данным Digital Trends, Microsoft в своем докладе Cyber Pulse подчеркивает, что быстрое внедрение ИИ-агентов в корпоративной среде может привести к возникновению новой категории угроз — AI double agent. Эксперты компании отмечают, что злоумышленники могут манипулировать доступом агентов или подавать им недоверенные данные, используя это для нанесения ущерба внутри организации.

Проблема не в том, что ИИ — новое явление. Она в том, что контроль над его применением остается неравномерным. Microsoft указывает, что агенты уже активно внедряются в различных отраслях, но некоторые из них обходят этапы проверки со стороны ИТ-служб и отделов безопасности, что приводит к потере прозрачности в их работе и доступе.

Точка роста угрозы: теневой ИИ

Microsoft связывает риски с тем, что внедрение агентов часто опережает меры по обеспечению безопасности и соответствия требованиям. В результате возникают теневые агенты, которых сложно отследить. Такие агенты уже имеют легитимный доступ, что делает их уязвимыми для захвата злоумышленниками.

Компания приводит пример недавней атаки, в которой злоумышленники использовали метод memory poisoning, чтобы модифицировать контекст, хранящийся в ИИ-ассистенте, и тем самым повлиять на его будущие ответы. Такие атаки могут оставаться незамеченными долгое время, так как выглядят как обычное поведение.

Проблема доступа и управления

Microsoft рассматривает угрозу AI double agent не только как проблему ИИ, но и как проблему доступа. Если агенту предоставлены широкие привилегии, одна манипуляция с его рабочим процессом может дать доступ к данным и системам, к которым он не должен был прикасаться. Чтобы снизить риски, компания рекомендует внедрять центральное управление агентами, а также обеспечивать прозрачность их деятельности. Это позволит безопасным службам отслеживать все агенты, включая те, которые используются вне утвержденных каналов.

По данным внутреннего опроса, 29% сотрудников уже используют неподтвержденные ИИ-агенты для выполнения рабочих задач. Такое тихое распространение усугубляет ситуацию, поскольку обнаружить аномалии на ранних этапах становится сложнее.

Методы атаки, выходящие за рамки ошибочных запросов

Microsoft подчеркивает, что угрозы не ограничиваются случайными или неправильными запросами. Компания выделяет memory poisoning как устойчивый вид атаки, который может вносить изменения, влияющие на последующие ответы агента. Это приводит к постепенной деградации доверия к его выводам.

Кроме того, AI Red Team Microsoft наблюдал, как агенты подвергались воздействию обманчивых интерфейсных элементов, включая вредоносные инструкции, скрытые в обычном контенте, и задачи, которые мягко перенаправляют логику рассуждений. Такие атаки могут выглядеть естественно, что делает их особенно опасными.

Рекомендации Microsoft

В докладе предлагаются конкретные шаги для снижения рисков. Microsoft советует рассматривать ИИ-агенты как новую категорию цифровой идентичности, а не как простое приложение. Рекомендуется использовать Zero Trust подход, включая проверку идентичности, строгий контроль привилегий и постоянный мониторинг поведения, чтобы выделять аномальные действия.

Центральное управление играет ключевую роль в этом процессе. Если безопасные службы могут вести инвентарь агентов, понимать, к каким ресурсам они имеют доступ, и применять согласованные меры контроля, риск AI double agent сокращается.

Перед массовым внедрением агентов рекомендуется определить, к каким данным они могут получить доступ, применить принцип минимальных привилегий и настроить мониторинг, способный обнаруживать манипуляции с инструкциями. Если эти вопросы еще не решены, Microsoft советует приостановить масштабные развертывания и сначала устранить пробелы в системе безопасности.

АНАЛИТИЧЕСКИЙ РАЗБОР

Когда ИИ становится новым участником цифровой безопасности: угрозы и стратегии защиты

Внедрение ИИ-агентов в корпоративные системы не только открывает возможности для автоматизации, но и формирует новую категорию угроз. Microsoft в докладе Cyber Pulse предупреждает о риске AI double agent — агентов, которые формально работают на компанию, но могут быть захвачены злоумышленниками и использованы для атак. Это связано с тем, что такие агенты часто обладают высоким уровнем доступа и не подвергаются достаточному контролю. По данным Microsoft, 29% сотрудников используют неподтвержденные ИИ-агенты, что создает риск их захвата и манипуляции [!].

Новые методы атак и уязвимости

Одним из наиболее опасных сценариев атак является memory poisoning — метод, при котором злоумышленники модифицируют контекст, хранящийся в памяти ИИ-ассистента. Это позволяет им влиять на будущие ответы агента, что может привести к искажению информации, принятию ошибочных решений или утечке данных. Такие атаки трудно обнаружить, так как они не нарушают формат запросов и ответов, а постепенно меняют логику работы агента.

Кроме того, уязвимость Reprompt, выявленная в Microsoft Copilot Personal, демонстрирует, как злоумышленники могут обходить защитные меры после первого запроса, получая несанкционированный доступ к данным пользователей [!]. Это подчеркивает необходимость не только технических, но и организационных мер для обеспечения безопасности.

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

Рост числа внедрений и масштаб рисков

35% компаний уже внедрили ИИ-агентов, а более 70% планируют это сделать в ближайшее время. Такой рост масштаба внедрений увеличивает зону рисков, особенно если агенты не проверяются и имеют широкий доступ к данным. В результате возникают теневые агенты, которые сложно отследить и контролировать. Такие агенты уже имеют легитимный доступ, что делает их уязвимыми для захвата злоумышленниками [!].

От контроля доступа к управлению поведением

Microsoft предлагает рассматривать ИИ-агентов как новую категорию цифровой идентичности, требующую строгого контроля. Это подразумевает применение Zero Trust подхода, включающего проверку идентичности, контроль привилегий и постоянный мониторинг поведения. Такой подход предполагает, что доверие не предоставляется автоматически, а постоянно проверяется. Это особенно важно в системах с автономными ИИ-агентами, где риск утечек и манипуляций возрастает [!].

Центральное управление и прозрачность

Центральное управление агентами играет ключевую роль в обеспечении безопасности. Если службы безопасности могут вести инвентарь агентов, понимать, к каким ресурсам они имеют доступ, и применять согласованные меры контроля, риск AI double agent сокращается. Это требует не только технических решений, но и организационной культуры, где каждый внедренный агент проходит проверку и имеет четкие правила использования.

Рекомендации для корпоративных структур

Для минимизации рисков Microsoft советует:

  • Рассматривать ИИ-агентов как новую категорию цифровой идентичности, а не как обычное приложение.
  • Применять Zero Trust подход, включая проверку идентичности, строгий контроль привилегий и постоянный мониторинг поведения.
  • Внедрять центральное управление агентами, чтобы обеспечить прозрачность их деятельности.
  • Определять, к каким данным агенты могут получить доступ, и применять принцип минимальных привилегий.
  • Настроить мониторинг, способный обнаруживать манипуляции с инструкциями.

Если эти вопросы еще не решены, Microsoft советует приостановить масштабные развертывания и сначала устранить пробелы в системе безопасности.

Переход от инструмента к субъекту безопасности

Главной тенденцией становится переход от восприятия ИИ как инструмента к его пониманию как субъекта цифровой безопасности. Это подчеркивается в рекомендациях Microsoft о применении Zero Trust и централизованном управлении. Такой подход позволяет не только защитить данные, но и создать структуру, в которой ИИ-агенты могут быть безопасно и эффективно использованы.

Источник: digitaltrends.com

Контакты Асектор ✉

Коротко о главном

Что такое «теневые агенты» и как они возникают?

Теневые агенты — это ИИ-агенты, которые обходят проверку со стороны ИТ-служб, из-за чего их работа становится непрозрачной и трудноконтролируемой, что повышает уровень риска.

Как злоумышленники используют метод memory poisoning?

Метод memory poisoning позволяет атакующим модифицировать контекст, хранящийся в ИИ-ассистенте, чтобы повлиять на его будущие ответы, что может оставаться незамеченным долгое время.

Почему 29% сотрудников используют неподтвержденные ИИ-агенты?

Неподтвержденные агенты используются для выполнения рабочих задач вне утвержденных каналов, что затрудняет обнаружение аномалий и усиливает угрозу для корпоративной безопасности.

Как Microsoft рекомендует снижать риски AI double agent?

Компания советует внедрять центральное управление агентами, применять Zero Trust подход, настраивать мониторинг поведения и учитывать агентов как новую категорию цифровой идентичности.

Какие атаки могут выглядеть как обычное поведение агента?

Злоумышленники используют обманчивые интерфейсные элементы, такие как вредоносные инструкции, скрытые в обычном контенте, чтобы мягко перенаправить логику рассуждений агента.

Почему Microsoft советует приостановить масштабные развертывания агентов?

Если не определены доступы агентов, не настроен мониторинг и не устранены пробелы в безопасности, компания рекомендует приостановить внедрение, чтобы избежать потенциальных утечек данных.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность; Бизнес; Цифровизация и технологии

Темы: Архитектура с централизованным управлением; ИИ-безопасность; Теневой ИИ;

AI double agent AI Red Team Centralized management Digital identity Memory poisoning Microsoft Shadow agents ZeroTrust модель безопасности

Оценка значимости: 5 из 10

Событие связано с ростом рисков в области кибербезопасности, вызванных внедрением ИИ-агентов в корпоративные среды. Оно затрагивает, в первую очередь, международную аудиторию, но влияние на Россию косвенное — через угрозы для IT-инфраструктуры и корпоративной безопасности. Масштаб аудитории регионально-национальный, так как речь идет о технологиях, которые активно внедряются в крупных компаниях по всему миру, включая и российские. Время воздействия — среднесрочное, поскольку угроза может сохраняться и развиваться в течение нескольких лет. Сферы влияния — 2–3 (технологии, безопасность, корпоративный сектор), а глубина последствий — умеренная, поскольку речь идет о потенциальных утечках данных и нарушении доверия к ИИ-системам, но не о системном кризисе.

Материалы по теме

Дженсен Хуанг о достижении AGI: корпорации меняют терминологию ради нового позиционирования
Обзор события
Дженсен Хуанг о достижении AGI: корпорации меняют терминологию ради нового позиционирования
Microsoft отказывается от тотального внедрения ИИ ради стабильности Windows 11
Обзор события
Microsoft отказывается от тотального внедрения ИИ ради стабильности Windows 11
OpenAI удваивает штат ради корпоративных клиентов и роста выручки
Обзор события
OpenAI удваивает штат ради корпоративных клиентов и роста выручки
Автономные агенты ИИ: традиционные системы защиты не видят утечек данных
Обзор события
Автономные агенты ИИ: традиционные системы защиты не видят утечек данных
Долгосрочные контракты Big Tech: дефицит чипов сохранится до конца десятилетия
Обзор события
Долгосрочные контракты Big Tech: дефицит чипов сохранится до конца десятилетия
DLSS 5 Nvidia: алгоритм заменяет труд художников и искажает замысел автора
Обзор события
DLSS 5 Nvidia: алгоритм заменяет труд художников и искажает замысел автора
Бизнесы массово внедряют ИИ-агентов, но рискуют утечкой данных
Обзор события
Бизнесы массово внедряют ИИ-агентов, но рискуют утечкой данных
ИИ-ассистенты под угрозой: как атака Reprompt учит бизнес защищаться

Уязвимость Reprompt в Microsoft Copilot Personal подчеркнула реальную угрозу несанкционированного доступа к данным пользователей, обусловленного недостаточной защитой после первого запроса. Этот случай стал конкретным примером, как атаки на ИИ-ассистентов могут обходить существующие меры безопасности, усиливая необходимость внедрения более строгих контрольных механизмов.

Подробнее →
Бизнесы массово внедряют ИИ-агентов, но рискуют утечкой данных

Статистика о том, что 35% компаний уже внедрили ИИ-агентов, а более 70% планируют это сделать, подчеркнула масштаб роста внедрений и, соответственно, увеличение зоны рисков. Эти данные помогли обосновать идею о теневых агентах как уязвимых точках, которые сложно отследить и контролировать.

Подробнее →
Генеративный ИИ растёт — но безопасность отстаёт

Описание подхода Zero Trust, предполагающего постоянную проверку всех этапов работы с ИИ, подкрепило рекомендации Microsoft по управлению ИИ-агентами как новой категорией цифровой идентичности. Этот принцип стал основой для аргументации необходимости строгого контроля доступа и поведения агентов, особенно в автономных системах.

Подробнее →
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.