Смена парадигмы безопасности: защита решений важнее контроля доступа в эпоху ИИ-агентов

По данным издания Help Net Security, автоматизация торговых процессов через искусственный интеллект меняет фундаментальные подходы к управлению рисками в финансовой сфере. Дональд Коссманн (Donald Kossmann), технический директор компании Chargebacks911, указывает на то, что появление агентов, способных самостоятельно совершать покупки и вести переговоры, размывает традиционные границы безопасности. Основной сдвиг заключается в переходе от защиты учетных данных к обеспечению целостности принимаемых решений. В условиях, когда алгоритм действует от имени пользователя или организации, технически корректная транзакция может не отражать истинные намерения владельца средств.

Смена парадигмы: от доступа к намерениям

Традиционные модели цифровой коммерции опирались на предположение, что авторизация действия гарантирует его соответствие воле пользователя. В эпоху агентской торговли эта связь ослабевает. Когда ИИ-агент получает право действовать постоянно, риск смещается в сторону так называемого «дрейфа намерений». Система может работать в рамках предоставленных полномочий, но выдавать результаты, которые пользователь не ожидал и не готов принять. Это создает серую зону для споров и возвратов средств, с которой существующие механизмы контроля не справляются эффективно.

Отрасль пока фокусируется на безопасности доступа, однако более значимым вызовом становится целостность решений. Текущие стандарты делегирования прав, подобные OAuth, были разработаны для ограниченных действий, инициируемых человеком. Они не учитывают специфики непрерывно работающих коммерческих агентов с финансовыми полномочиями. Разрешения могут оставаться валидными долгое время после того, как намерения пользователя изменились. Кроме того, агенты способны взаимодействовать с множеством поставщиков и сервисов в масштабах времени, которые исходная модель согласия не предусматривала.

Эксперты отмечают необходимость эволюции стандартов, а не их полной замены. Требуется внедрение более детализированных, отзываемых и контекстно-зависимых прав доступа. Критически важным становится усиление возможности аудита решений агентов и создание прозрачных следов, фиксирующих не только факт авторизации, но и то, как именно полномочия использовались во времени.

Обязательные требования к корпоративным системам

Для минимизации рисков при подключении ИИ-агентов к системам закупок или корпоративным кредитным линиям предприятиям необходимо внедрить четыре базовых условия. Без их выполнения организация фактически расширяет финансовые полномочия без соответствующего расширения системы управления.

• Строго ограниченные и привязанные ко времени права доступа. Агенты не должны обладать неограниченной властью на совершение покупок. Лимиты расходов, контроль категорий, ограничения по поставщикам и условия истечения срока действия полномочий должны быть прописаны явно.
• Полная прозрачность принятия решений. Организации требуются детальные логи, объясняющие причины выбора конкретного поставщика, смены контрагента или выполнения транзакции.
• Возможность немедленного ручного вмешательства. Если поведение агента становится непредсказуемым, команды должны иметь возможность мгновенно приостановить работу или отозвать полномочия.
• Надежное фиксирование доказательств после транзакции. При возникновении споров или аудиторских проверках предприятиям необходимо демонстрировать разницу между тем, что агенту было разрешено сделать, и тем, что он фактически выполнил.

i

Создано специально для ASECTOR

Концептуальное изображение

Угрозы интеллектуального шпионажа и манипуляции

Агенты, занимающиеся покупками или закупками, накапливают объемные данные о поведении, включая предпочтения в выборе товаров, чувствительность к цене, отношения с поставщиками и временные паттерны. В масштабе эти данные приобретают высокую коммерческую и операционную ценность. В случае компрометации злоумышленники получают доступ не только к информации об отдельных пользователях, но и к стратегиям закупок целых предприятий. Это создает угрозы, выходящие за рамки финансового мошенничества: риски утечки конкурентной разведки, социальной инженерии и целевого манипулирования.

Взаимодействие агентов друг с другом на торговых площадках добавляет новый уровень непрозрачности. При транзакциях между людьми существуют естественные точки трения, где видны намерения и согласие. Автономное взаимодействие алгоритмов сжимает или устраняет многие из этих контрольных точек. Существует риск чрезмерного раскрытия данных между агентами, особенно если модели динамического ценообразования требуют обмена сигналами о поведении. Даже ограниченные сигналы, обмениваемые многократно, могут выявить чувствительные паттерны, о которых пользователи не подозревают.

Слой переговоров становится новой поверхностью для атак. Злоумышленники могут пытаться влиять на ценовые сигналы, искажать обучающие данные, подделывать атрибуты поставщиков или использовать логику оптимизации для направления агентов к субоптимальным или вредоносным контрагентам. В отличие от традиционного мошенничества, такие атаки могут не нарушать очевидных правил. Они тонко искажают среду принятия решений, в которой работает агент. С точки зрения рисков, опасность заключается в том, что транзакция выглядит полностью авторизованной и соответствующей политике, тогда как манипуляция происходит на уровне логики принятия решений.

Пересмотр управления рисками третьих сторон

Модели управления рисками третьих сторон должны расширяться от доверия к сущности до доверия к решениям. Исторически организации оценивали безопасность контрагента как организации. В условиях агентской торговли командам необходимо также оценивать поведение, права доступа и управление автономными системами, действующими от имени этой стороны.

Это требует включения телеметрии на уровне агентов, более сильного контекста транзакций и динамического мониторинга в рамки управления рисками. Организации должны готовиться к ситуации, когда споры, вопросы ответственности и проверки безопасности будут сосредоточены на том, как было принято автономное решение, а не только на том, кто инициировал отношения. При оценке поставщиков ИИ-решений с функциями автономных покупок компании должны переходить от стандартных опросников к фокусу на управлении решениями. Ключевыми областями для проверки являются способы ограничения прав агентов, логирование и объяснение решений, скорость отзыва полномочий и методы обнаружения аномального поведения. Также важно понимать, как поставщик отделяет поведение модели от коммерческих стимулов. Если платформа не может продемонстрировать сохранение намерений клиента на протяжении всего жизненного цикла транзакции, это является сигналом о существенных рисках.

От пароля к намерению: новая реальность финансовых рисков

Традиционная модель кибербезопасности в финансах строилась на простом принципе: если система подтвердила личность пользователя, то и действие считается легитимным. В эпоху автономных торговых агентов этот фундамент трещит по швам. Технически корректная транзакция, совершенная алгоритмом с полным набором прав доступа, может полностью противоречить стратегическим интересам владельца средств. Проблема смещается из плоскости «кто ты» в плоскость «что делает система и зачем».

Ситуация усугубляется тем, что существующие инструменты защиты слепы к новой природе угроз. Исследования показывают, что системы обнаружения угроз (EDR) и решения безопасности на уровне сети (SASE) не способны отличить запрос, сгенерированный человеком, от действия ИИ-агента [!]. Для защитных механизмов оба события выглядят идентично: легитимный вход в систему с валидными учетными данными. Это создает иллюзию безопасности, скрывая за собой реальный риск «дрейфа намерений», когда агент действует в рамках предоставленных полномочий, но с результатами, которые бизнес не планировал и не готов принять.

Важный нюанс: Главная угроза сегодня заключается не во взломе паролей, а в легитимном использовании системных прав для совершения действий, формально разрешенных правилами, но экономически вредоносных для компании.

Сломанные механизмы доверия

Стандарты делегирования прав, такие как OAuth, были разработаны для разовых сценариев по инициативе человека. Они не учитывают специфику непрерывно работающих агентов, способных действовать месяцами без прямого участия оператора. Разрешения остаются активными даже после того, как бизнес-цели компании изменились или условия рынка трансформировались.

Рынок уже демонстрирует масштаб этой уязвимости. В первом квартале 2025 года количество подозрительных действий на платформе Salesforce выросло в 20 раз [!]. Злоумышленники используют легитимные OAuth-токены, полученные через обманные запросы на подключение приложений, для имитации поведения пользователей. Такой подход позволяет обойти двухфакторную аутентификацию и не требует взлома паролей. Атакующие действуют как «честный» пользователь, что делает обнаружение таких инцидентов крайне сложным традиционными методами.

В контексте агентской торговли этот сценарий становится еще опаснее. Если злоумышленник или скомпрометированный алгоритм получает доступ к системе закупок, он может не только украсть данные, а начать совершать сделки. Агент может автоматически переключиться на более дешевого поставщика, игнорируя скрытые риски его надежности, если алгоритм оптимизации был настроен исключительно на минимизацию цены. В традиционной схеме человек заметил бы это изменение и вмешался. В автономном режиме транзакция пройдет успешно, но ущерб будет нанесен репутации или операционной непрерывности.

Экономика манипуляции и «серая зона» споров

Автономные агенты накапливают колоссальные объемы данных о поведении организации: от предпочтений в выборе товаров до чувствительности к цене и временных паттернов закупок. Эти данные становятся более ценным активом, чем сами финансовые средства. В случае компрометации злоумышленники получают полную карту стратегии предприятия.

Особую опасность представляет манипуляция на уровне логики принятия решений. Атака может не нарушать никаких правил безопасности и проходить все проверки авторизации. Вместо этого она тонко меняет параметры среды, в которой работает агент. Например, злоумышленники могут искажать обучающие данные или подделывать атрибуты поставщиков, направляя агента к субоптимальным решениям. Динамическое ценообразование может быть использовано для вывода агента из равновесия: алгоритм, стремящийся к выгоде, начинает совершать покупки у ненадежных контрагентов, которые искусственно занижают цены на коротком отрезке времени, чтобы затем нанести ущерб поставками.

Такие действия создают «серую зону» для споров о возврате средств. Существующие механизмы контроля не справляются с ситуацией, когда транзакция выглядит полностью авторизованной. Возникает сложный вопрос распределения ответственности: кто несет убытки — банк, платформа или бизнес-клиент? Если агент действовал в рамках выданных прав, но результат оказался убыточным из-за манипуляции внешней средой, доказать вину третьей стороны становится практически невозможно без детального аудита логики принятия решений.

Важный нюанс: Уязвимость смещается с периметра безопасности вглубь бизнес-логики, где защита строится на прозрачности алгоритмов и возможности мгновенного вмешательства человека.

Разделение личностей как новый стандарт защиты

Решение проблемы лежит не в усилении паролей, а в техническом разделении идентичности. Эксперты предлагают внедрение подходов, подобных Browser Detection and Response (BDR), которые разделяют агентные и пользовательские идентификаторы [!]. Агент должен иметь свой уникальный цифровой профиль с правами, отличными от прав человека-владельца. Это позволит системе видеть: «Запрос пришел не от Ивана, а от Агента Ивана», и применять к нему другие правила контроля, например, жесткие лимиты по суммам или категориям, которые невозможно обойти через стандартный OAuth.

Для минимизации рисков предприятиям необходимо внедрить четыре базовых условия в архитектуру управления:

• Строго ограниченные и привязанные ко времени права доступа. Агенты не должны обладать неограниченной властью на совершение покупок. Лимиты расходов, контроль категорий и условия истечения срока действия полномочий должны быть прописаны явно.
• Полная прозрачность принятия решений. Организации требуются детальные логи, объясняющие причины выбора конкретного поставщика или смены контрагента. Без фиксации контекста невозможно доказать соответствие действий воле владельца средств.
• Возможность немедленного ручного вмешательства. Если поведение агента становится непредсказуемым, команды должны иметь возможность мгновенно приостановить работу или отозвать полномочия.
• Надежное фиксирование доказательств после транзакции. При возникновении споров предприятиям необходимо демонстрировать разницу между тем, что агенту было разрешено сделать, и тем, что он фактически выполнил.

Интересный контраст наблюдается в производственном секторе. Samsung Electronics переводит заводы на управление с помощью агентного ИИ, создавая полностью автономную среду для принятия решений [!]. Там алгоритмы самостоятельно планируют действия и предотвращают сбои, что обеспечивает переход от реагирования к автоматизированному предотвращению рисков. Однако в финансовой сфере та же автономия без жесткого контроля контекста превращается в источник новых угроз. Разница заключается в природе ошибок: на заводе ошибка алгоритма ведет к простою, который можно остановить физически, а в финансах — к мгновенной и необратимой потере средств.

Организации должны быть готовы к тому, что споры о возврате средств будут сосредоточены на анализе логики действий агента, а не на факте авторизации. Это требует перехода от оценки рисков третьих сторон как организаций к оценке их автономных систем. Ключевыми областями для проверки становятся способы ограничения прав агентов, логирование и объяснение решений, скорость отзыва полномочий и методы обнаружения аномального поведения.

Без этих изменений компании фактически передают управление своими финансами алгоритмам, не имея инструментов контроля над их решениями. Рынок движется к точке, где безопасность определяется не силой пароля, а качеством управления автономными системами и способностью предвидеть последствия их действий в динамичной среде.