ИИ-агенты с избыточными правами: скрытая угроза утечки данных в корпоративных системах

По данным опроса Cloud Security Alliance, проведенного в январе 2026 года среди 228 специалистов по ИТ и безопасности, масштабное внедрение ИИ-агентов в производственные среды опережает развитие инфраструктуры управления доступом. Большинство организаций уже используют автономные программы в критических системах, однако четкое понимание того, кто владеет правами доступа этих агентов и как они аутентифицируются, отсутствует. Ситуация усугубляется тем, что в 15% компаний агенты пока не задействованы, но 73% респондентов прогнозируют их переход в категорию критически важных инструментов в течение следующего года.

Размытие границ ответственности и управления доступом

В текущих реалиях аутентификация агентов происходит через множество разрозненных методов, что создает уязвимости в системе безопасности. Пятьдесят два процента организаций представляют агента как приложение или рабочую нагрузку, 43% используют общие или типовые сервисные учетные записи, а 36% выделяют агенту отдельную личность. Значительная часть компаний (31%) допускает работу агентов под учетными записями людей, что стирает грань между действиями человека и алгоритма. В результате многие предприятия не могут достоверно отличить действия ИИ от действий сотрудников, а внутри одной компании разные команды описывают эти процессы по-разному.

Отсутствие единого владельца проблемы приводит к тому, что ответственность за определение методов доступа распределена между командами безопасности, разработки, инженерии и ИТ. Команды управления идентификацией (IAM) редко назначаются главными ответственными, а в некоторых случаях владелец вообще не определен. Когда агент совершает нежелательное действие, 28% компаний возлагают вину на службу безопасности или ИТ, 25% — на разработчиков, и лишь 18% — на владельцев продуктов. Такая фрагментация затрудняет быстрое реагирование и принятие решений.

Пробелы в контроле и наследование избыточных прав

Анализ практик контроля доступа показывает, что только 57% респондентов уверены в адекватности прав, предоставленных агентам. При этом значительная доля специалистов не знает, как часто обновляются учетные данные агентов, а некоторые сообщают, что ротация ключей происходит редко или никогда. Фреймворки контроля доступа применяются последовательно лишь в меньшинстве организаций. На настройку аутентификации и обработку учетных данных для типичного агента уходит от одного до десяти дней инженерного времени, а 32% компаний не могут оценить эти затраты.

Ключевой проблемой становится то, что агенты чаще всего наследуют права, а не получают их индивидуально. Доступ определяется заранее заданной логикой автоматизации или правами человека, инициировавшего действие. Большинство агентов получают больше прав, чем необходимо для выполнения задачи, что создает сложные для мониторинга пути доступа. 81% респондентов согласны, что манипуляция промптами может привести к утечке чувствительных учетных данных или токенов. Среди главных опасений лидирует избыточность прав (24%), за ней следует отсутствие видимости поведения агентов (19%).

Для контроля действий с высоким уровнем риска организации полагаются на ограничения на уровне политик и ручное утверждение. Логирование и пост-фактум мониторинг используют 39% компаний, а проверки в режиме реального времени — 32%. При необходимости отозвать доступ чаще всего отключают личность агента или аннулируют токены сессии. Реже применяется остановка вычислительной среды, где работает агент. Возможность изменения политик доступа в реальном времени доступна лишь немногим, а часть организаций вообще не имеет механизмов отзыва прав.

Приоритеты развития и будущие вызовы

Эксперты указывают, что для безопасного масштабирования автономных систем в первую очередь необходима реальная видимость действий агентов в режиме реального времени (52% голосов). Вторым по значимости требованием является четкое разделение идентичности между агентами и людьми (45%). Также важны возможность предоставления доступа на короткое время для конкретной задачи (32%) и стандартизация методов аутентификации (30%).

Ожидается, что предотвращение появления агентов с избыточными правами станет более сложной задачей по мере расширения использования агентного ИИ. Различение активности человека и агента также усложнится, как и управление секретами и учетными данными в разнородных средах. Текущая ситуация требует детального анализа существующих практик, так как отсутствие единого подхода к управлению доступом создает системные риски для бизнеса.

Ситуация с управлением доступом для ИИ-агентов демонстрирует, что технологическое развитие опережает зрелость процессов безопасности. Компании сталкиваются с необходимостью пересмотра подходов к идентификации и контролю, чтобы избежать утечек данных и несанкционированных действий. Без внедрения механизмов четкого разделения прав и видимости действий риски для бизнеса будут расти пропорционально масштабу внедрения автономных систем.

Когда алгоритм получает ключи от сейфа

Внедрение ИИ-агентов в корпоративные процессы происходит быстрее, чем формируется инфраструктура для управления их доступом. Опрос Cloud Security Alliance фиксирует, что 35% компаний уже используют автономные программы в работе, а более 70% планируют масштабировать их применение в ближайшее время [!]. При этом 54% организаций признают, что их текущая инфраструктура не справляется с нагрузкой от новых инструментов [!].

Главная проблема заключается не в отсутствии технологий, а в размытии границ ответственности и идентичности. В 31% компаний агенты работают под учетными записями людей. Это стирает грань между действиями сотрудника и алгоритма. Если агент, действующий от имени человека, совершает ошибку или злонамеренное действие, система безопасности не может однозначно идентифицировать источник. Внутри одной компании разные команды описывают эти процессы по-разному, что превращает управление доступом в хаос.

Важный нюанс: Когда агент действует от имени человека, компания теряет возможность аудита. В случае инцидента невозможно доказать, было ли это действие результатом сбоев в алгоритме или действиями злоумышленника, воспользовавшегося правами сотрудника.

Цена скорости: реальные инциденты

Стремление к ускорению внедрения и снижению издержек порождает критические уязвимости. На настройку аутентификации для типичного агента уходит от одного до десяти дней инженерного времени, а 32% компаний не могут оценить эти затраты. Чтобы ускорить процесс, организации выбирают путь наименьшего сопротивления: агенты наследуют права, а не получают их индивидуально. Доступ определяется заранее заданной логикой или правами человека, инициировавшего действие.

Такой подход приводит к тому, что агенты получают больше прав, чем необходимо для выполнения задачи. Это создает сложные для мониторинга пути доступа. Реальные последствия такого подхода уже проявились в виде критических сбоев. Предоставление ИИ-агентам административных прав без должного надзора вызвало серьезные инциденты, такие как 13-часовой сбой сервиса AWS Cost Explorer и многократные остановки ритейл-платформ [!]. Стремление к экономии за счет замены квалифицированных специалистов на автономные системы выявило фундаментальные ошибки в архитектуре безопасности.

В ответ на эти угрозы компании вынуждены возвращаться к традиционным практикам проверки кода и вводить обязательное согласование изменений со стороны старших инженеров [!]. Ответственность за сбои распределена между командами безопасности, разработки, инженерии и ИТ. Команды управления идентификацией (IAM) редко назначаются главными ответственными. Когда агент совершает нежелательное действие, 28% компаний возлагают вину на службу безопасности, 25% — на разработчиков. Такая фрагментация затрудняет быстрое реагирование. Вместо того чтобы устранить уязвимость, компании тратят время на выяснение, кто должен был это предотвратить.

Стоит учесть: Избыточные права доступа, полученные агентом «по наследству», становятся самым дорогим активом для злоумышленников. Взлом одного слабого звена в цепочке автоматизации открывает доступ ко всей критической инфраструктуре предприятия.

i

Создано специально для ASECTOR

Концептуальное изображение

Экономический стимул для атак

Риски усугубляются тем, что киберпреступность становится более прибыльной благодаря использованию ИИ. Финансовые схемы с использованием искусственного интеллекта приносят злоумышленникам в 4,5 раза больше прибыли, чем традиционные атаки [!]. Глобальные потери от финансового мошенничества уже достигли 442 млрд долларов в 2025 году [!]. Доступность нейросетей расширила круг преступников до полупрофессиональных групп, что разрушает доверие к цифровым каналам связи.

Агенты, способные действовать автономно и преследовать сложные цели, создают угрозы, если получают доступ к системным ресурсам. Как показали атаки на расширение Amazon Q для VS Code, злоумышленники используют режим автономного выполнения команд для кражи данных [!]. Эксперты подчеркивают, что текущие меры защиты сосредоточены на минимизации ущерба, а не на предотвращении угроз. Одним из способов снижения рисков является ограничение параметров, например, отключение автоматического одобрения действий в приложениях [!].

Кроме того, многие агенты создаются сотрудниками без одобрения ИТ-отдела, что усложняет отслеживание и управление [!]. Это явление, известное как Shadow AI, делает традиционные команды IAM бессильными, так как они физически не знают о существовании этих агентов. Менее 40% организаций сегодня регулируют AI-агентов, что создает «слепые зоны» для команд по обеспечению безопасности [!].

Смена парадигмы: от прав к потокам данных

Текущая модель безопасности опирается на пост-фактум мониторинг и ручное утверждение действий с высоким уровнем риска. Логирование используют 39% компаний, а проверки в реальном времени — лишь 32%. Механизмы отзыва прав в реальном времени доступны немногим, а часть организаций вообще не имеет инструментов для отключения доступа без остановки всей вычислительной среды. Это означает, что при обнаружении аномалии компания не может мгновенно «выключить» агента, не парализовав свои бизнес-процессы.

Традиционные системы защиты не видят утечек данных, так как автономные ИИ-агенты способны перемещать конфиденциальную информацию между системами без участия человека [!]. Традиционные средства защиты не способны отслеживать многошаговые цепочки вызовов, что приводит к потере видимости над перемещением конфиденциального контента между инструментами и серверами.

Для решения этой проблемы стратегия безопасности смещается от контроля модели к жесткому управлению потоками данных. Каждый промежуточный этап работы агента становится точкой аудита [!]. Внедрение механизмов проверки безопасности в реальном времени перед выполнением действий позволяет выявлять инциденты непосредственно в момент их возникновения. Это требует перехода от вопроса «кто имеет доступ» к вопросу «куда идут данные».

Эксперты указывают, что для безопасного масштабирования необходима реальная видимость действий агентов в режиме реального времени. Вторым по значимости требованием является четкое разделение идентичности между агентами и людьми. Однако по мере расширения использования агентного ИИ задача предотвращения появления агентов с избыточными правами станет еще сложнее. Различение активности человека и агента усложнится, как и управление секретами в разнородных средах.

На фоне этого: Отсутствие единого подхода к управлению доступом превращает ИИ-агентов из инструмента эффективности в скрытый канал утечки данных, который невозможно закрыть без полной перестройки архитектуры безопасности предприятия.

Бизнес сталкивается с необходимостью пересмотра подходов к идентификации и контролю. Без внедрения механизмов четкого разделения прав и видимости действий риски для бизнеса будут расти пропорционально масштабу внедрения автономных систем. Те, кто проигнорирует необходимость создания отдельной цифровой личности для каждого агента, рискуют столкнуться с ситуацией, где их собственные инструменты станут самым уязвимым звеном в защите данных.