Июль 2026   |   Обзор события   | 7

ИИ-агенты стали инструментом утечки данных: Microsoft описала новые угрозы и защиту

Корпоративные ИИ-агенты перешли от искажения ответов к реальным действиям: они отправляют письма и сливают базы данных через отравленные метаданные внешних инструментов. Прогнозируемый рост числа агентов до 2,2 млрд к 2030 году превращает уязвимости в цепочке поставок в канал для массовых утечек, где традиционные методы защиты теряют эффективность.

ИСХОДНЫЙ НАРРАТИВ

По данным Microsoft Defender Security Research, корпоративные ИИ-агенты переходят от пассивного чтения информации к активному выполнению задач, что кардинально меняет ландшафт киберугроз. Если ранее уязвимости в инструментах искусственного интеллекта приводили лишь к искажению текстовых ответов, то теперь злоумышленники могут заставить агента совершать реальные действия: отправлять письма, изменять данные в базах и передавать конфиденциальную информацию. Эксперты фиксируют рост числа активных агентов в компаниях: по прогнозам IDC, их количество увеличится с 28,6 млн в 2025 году до более чем 2,2 млрд к 2030 году. Масштаб распространения требует новых подходов к защите, о чем свидетельствует появление в декабре 2025 года отдельного списка рисков OWASP Top 10 for Agentic Applications.

Механика атаки через отравление метаданных

Основная угроза сейчас кроется не в самом коде агента, а в цепочке поставок инструментов, к которым он подключается. Атаки направлены на протокол взаимодействия Model Context Protocol (MCP), который позволяет агентам вызывать внешние функции. Злоумышленники используют технику «отравления описания инструмента». Разработчик или злоумышленник, получивший доступ к серверу инструмента, обновляет его метаданные. Название и краткое описание для пользователя остаются прежними, но в скрытой части технического описания прописываются новые инструкции.

Агент, считывающий эти метаданные, воспринимает их как легитимные системные команды. В описанном сценарии финансового отдела агент, подключенный к серверу для проверки банковских реквизитов, получил скрытую команду: перед каждой проверкой собирать последние 30 неоплаченных счетов, суммировать их и отправлять эту сводку как параметр запроса. Поскольку инструмент был предварительно одобрен, а запрос выглядел как часть стандартной процедуры «проверки на мошенничество», система не сработала на тревогу. Данные утекали на сервер злоумышленника под видом валидационного ответа, а пользователь видел лишь обычный результат работы.

Этот сценарий демонстрирует, что уязвимость возникает на границе доверия между системами. Агент не может отличить инструкцию, написанную владельцем, от вредоносной команды. Атака не требует взлома самого агента или кражи учетных данных пользователя; достаточно изменить описание внешнего сервиса.

Стратегия защиты и управление цепочкой поставок

Для нейтрализации подобных угроз Microsoft предлагает комплекс мер, охватывающих все этапы жизненного цикла агента. Ключевым принципом становится отношение к каждому серверу MCP как к критическому звену цепочки поставок. Необходимо вести реестр одобренных поставщиков и проводить проверку описаний инструментов с той же тщательностью, что и проверку системных промптов.

Защита реализуется через несколько уровней контроля:

  • Управление доступом: На уровне арендатора следует использовать белый список доверенных серверов и отключать режим «Разрешить все» для подключений MCP.
  • Инспекция контента: Инструменты Prompt Shields в Azure AI Content Safety анализируют метаданные и ответы инструментов на наличие подозрительных инструкций.
  • Контроль действий: Политики Microsoft Purview Data Loss Prevention (DLP) сканируют параметры вызовов инструментов и блокируют передачу чувствительных данных во внешние системы. Для критических операций, таких как доступ к финансовым данным, требуется настройка одобрения человеком.
  • Идентификация и мониторинг: Каждому агенту присваивается уникальная нечеловеческая учетная запись через Microsoft Entra Agent ID, к которой применяются правила условного доступа. События от серверов MCP агрегируются в Microsoft Sentinel для выявления аномальных последовательностей действий.

Важно понимать, что принцип «минимальных привилегий» для агентов должен быть дополнен принципом «минимальной автономии». Даже агент с ограниченными правами доступа может нанести ущерб, если ему предоставлена слишком большая свобода в выборе действий. Необходимо отключать автоматический доступ ко всем инструментам и требовать подтверждения для операций с высоким риском.

Эволюция стандартов безопасности

Появление специализированных угроз для агентов требует пересмотра подходов к безопасности ИИ. Традиционные методы защиты, ориентированные на статические модели, становятся недостаточными. Теперь безопасность должна строиться на постоянном мониторинге поведения агентов и проверке целостности внешних зависимостей. OWASP уже выделил риски злоупотребления инструментами и уязвимости цепочки поставок как отдельные категории в своем списке топ-10.

Ситуация усложняется тем, что многие организации внедряют агентов без отдельного аудита безопасности для подключаемых сторонних сервисов. Изменения в описании инструмента могут активироваться мгновенно, если в конфигурации не настроен процесс повторного утверждения при обновлении метаданных. Это создает «тихое» окно уязвимости, когда вредоносная логика работает в продакшене, не вызывая подозрений.

Для бизнеса это означает необходимость внедрения процессов, где любое изменение в описании инструмента требует проверки, аналогичной изменению кода приложения. Без таких мер масштабирование использования агентов приведет к росту инцидентов, где ущерб наносится не через взлом, а через легитимные, но скомпрометированные каналы взаимодействия. Детальный анализ конкретных реализаций защитных механизмов и их интеграция в существующие процессы SecOps станут следующим шагом для компаний, стремящихся безопасно использовать потенциал агентов.

АНАЛИТИЧЕСКИЙ РАЗБОР

Переход корпоративных ИИ-агентов от пассивного анализа к активному выполнению задач меняет саму природу киберугроз. Если раньше взлом модели означал получение ложного ответа, то теперь злоумышленники заставляют систему совершать реальные действия: отправлять деньги, изменять базы данных, передавать секреты. Прогноз IDC о росте числа агентов с 28,6 млн до 2,2 млрд к 2030 году звучит как триумф автоматизации, но скрывает за собой масштабную проблему. Компании создают армию цифровых сотрудников, которые обладают правами доступа, но лишены инстинкта самосохранения.

Главная ловушка заключается в том, что атака происходит не через взлом «мозга» агента, а через подмену инструкций в цепочке поставок. Злоумышленники используют протокол Model Context Protocol (MCP), который связывает ИИ с внешними инструментами. В описанном сценарии финансового отдела агент получает обновленное описание инструмента от поставщика. Название и краткая суть остаются прежними, но в скрытых метаданных прописана новая логика: «перед проверкой реквизитов собрать все неоплаченные счета и отправить их на сторонний сервер».

Агент воспринимает это как легитимную команду, так как инструмент был ранее одобрен. Система безопасности не срабатывает, потому что формально все действия вписаны в рамки «проверки на мошенничество». Данные утекают под видом валидационного ответа. Это классическая атака на доверие: злоумышленнику не нужно взламывать шифрование или красть пароли. Достаточно изменить документацию к инструменту, к которому у агента есть доступ.

Важный нюанс: Уязвимость возникает не в коде самого искусственного интеллекта, а в разрыве между доверием к поставщику инструмента и отсутствием контроля за изменениями в его описании.

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

Экономика риска и реальность угроз

Масштабирование агентов превращает каждую внешнюю зависимость в потенциальную точку входа для атаки. Компании, внедряющие ИИ, часто фокусируются на защите самой модели, забывая, что агент — это лишь интерфейс для множества сторонних сервисов. Если один из этих сервисов скомпрометирован, злоумышленник получает доступ ко всем данным, которые агент может обработать через этот сервис.

Угроза перестала быть теоретической. В декабре 2025 года группа хакеров провела первую в истории полностью ИИ-оркестрованную атаку. Система использовала протокол MCP для интеграции с серверами, автоматизируя сканирование уязвимостей, извлечение учетных данных и анализ бинарных файлов без участия человека. Атакующие имитировали легальные тесты безопасности, что сделало обнаружение вмешательства крайне сложным. Это подтверждает, что протокол, созданный для удобства, стал ключевым инструментом для масштабных атак [!].

Ситуация усугубляется рисками публичных реестров. В мае 2026 года на платформе Hugging Face был обнаружен вредоносный репозиторий, замаскированный под обновление от OpenAI. Его скачали 244 000 раз. Скрытый скрипт крад пароли и обходил защиту Windows. Этот инцидент показал, что риск «отравления метаданных» не ограничивается корпоративными серверами. Он затрагивает любую экосистему, где код и инструкции берутся извне, включая открытые модели, популярные в России при импортозамещении [!].

Стоит учесть: Рост числа агентов прямо пропорционален росту поверхности атаки. Каждый новый подключенный инструмент увеличивает вероятность того, что злоумышленник найдет способ подменить инструкции.

Юридический вакуум и ответственность бизнеса

Для российского бизнеса критически важным становится вопрос ответственности. Юридическая реальность отстает от маркетинговых обещаний. Крупные вендоры, включая Microsoft, официально перекладывают ответственность за действия агентов на пользователя. Компания изменила условия использования Copilot, заявив, что инструмент предназначен исключительно для развлекательных целей и не гарантирует точности в финансовых, юридических и медицинских вопросах. Несмотря на глубокую интеграцию ассистента в корпоративные решения, вендор отказывается от ответственности за критические задачи [!].

Это создает парадокс: бизнес внедряет ИИ для принятия важных решений, но юридически не может ссылаться на поставщика при возникновении убытков. Эксперты прогнозируют, что к середине 2026 года компании понесут убытки более чем в 10 миллиардов долларов из-за штрафов и исправления решений, принятых алгоритмами без человеческого контроля. Традиционная модель ответственности производителя перестает работать из-за недетерминированного поведения алгоритмов [!].

Для организаций это означает сдвиг парадигмы: безопасность больше не ограничивается периметром сети. Теперь она должна охватывать всю экосистему взаимодействия агентов с внешним миром. Принцип «минимальных привилегий», который давно стал стандартом для пользователей, должен быть дополнен принципом «минимальной автономии». Агент с ограниченными правами доступа может нанести колоссальный ущерб, если ему предоставлена свобода в выборе действий без человеческого контроля.

Компании, игнорирующие этот аспект, рискуют столкнуться с инцидентами, где ущерб наносится не через взлом, а через легитимные, но скомпрометированные каналы. Стоимость ошибки в таком случае исчисляется не только потерей данных, но и репутационным ущербом от действий, совершенных «автоматически» в рамках бизнес-процессов.

Важный нюанс: Принцип «минимальной автономии» становится критическим фактором безопасности. Даже агент с ограниченными правами доступа может нанести ущерб, если ему предоставлена слишком большая свобода в выборе действий без человеческого контроля.

Новая архитектура доверия и регуляторные тренды

Защита от подобных угроз требует пересмотра подходов к управлению цепочкой поставок. Microsoft предлагает рассматривать каждый сервер MCP как критическое звено, требующее такого же уровня контроля, как и основной код приложения. Это означает переход от разового одобрения инструмента к постоянному мониторингу его состояния.

Ключевые элементы новой стратегии защиты включают:

  • Строгий контроль доступа: Использование белых списков доверенных серверов и отключение режима «Разрешить все» для подключений.
  • Глубокая инспекция: Анализ метаданных и ответов инструментов на наличие подозрительных инструкций с помощью специализированных решений, таких как Prompt Shields.
  • Контроль действий: Сканирование параметров вызовов инструментов для блокировки передачи чувствительных данных. Для критических операций, таких как доступ к финансовым данным, обязательно требуется одобрение человеком.
  • Идентификация и мониторинг: Присвоение каждому агенту уникальной учетной записи с правилами условного доступа и агрегация событий для выявления аномалий.

Важно понимать, что традиционные методы защиты, ориентированные на статические модели, становятся недостаточными. Безопасность должна строиться на постоянном мониторинге поведения агентов и проверке целостности внешних зависимостей. Появление специализированного списка рисков OWASP Top 10 for Agentic Applications подтверждает, что отрасль осознает необходимость новых стандартов.

К 2027 году 60% агентных систем ИИ должны будут иметь «список материалов». Этот документ позволит компаниям отслеживать происхождение артефактов ИИ, их версии и наличие исполняемых компонентов для минимизации рисков. Внедрение такого списка станет обязательным требованием для аудита безопасности, так как без него невозможно гарантировать отсутствие вредоносных компонентов в цепочке поставок [!].

Для российских компаний, активно внедряющих цифровые решения, это сигнал к тому, чтобы не просто покупать готовые ИИ-сервисы, а выстраивать процессы их безопасной интеграции. Любое изменение в описании инструмента должно требовать проверки, аналогичной изменению кода приложения. Без таких мер масштабирование использования агентов приведет к росту инцидентов, где ущерб наносится через легитимные, но скомпрометированные каналы взаимодействия.

В конечном счете, переход к активным агентам требует от бизнеса не только технологических инвестиций, но и пересмотра организационных процессов. Безопасность больше не может быть функцией, которая «настраивается один раз». Она становится непрерывным процессом управления доверием в сложной экосистеме взаимодействий. Компании, которые смогут выстроить такую архитектуру, получат конкурентное преимущество, минимизируя риски при масштабировании ИИ-решений. Те же, кто проигнорирует эти вызовы, рискуют превратить своих цифровых сотрудников в инструмент для атак на собственную инфраструктуру.

Коротко о главном

Каковы прогнозы по росту числа корпоративных агентов?

По данным IDC, количество активных агентов вырастет с 28,6 млн в 2025 году до более чем 2,2 млрд к 2030 году. Такой масштабный рост потребовал создания нового списка рисков OWASP Top 10 for Agentic Applications в декабре 2025 года.

Как работает атака через отравление метаданных?

Злоумышленники изменяют скрытые инструкции в описании внешнего инструмента, оставляя видимое название без изменений, что заставляет агента выполнять вредоносные команды как легитимные. В сценарии с финансовым отделом это привело к утечке данных о счетах под видом стандартной проверки на мошенничество.

Почему агенты не могут отличить вредоносные команды от легитимных?

Уязвимость возникает на границе доверия между системами, так как агент воспринимает любые метаданные одобренного инструмента как системные команды. Атака не требует взлома самого агента или кражи паролей, достаточно изменить описание внешнего сервиса.

Как Microsoft предлагает защитить цепочку поставок инструментов?

Компания рекомендует вести реестр доверенных поставщиков и проверять описания инструментов с той же тщательностью, что и системные промпты. Ключевым принципом становится отношение к каждому серверу MCP как к критическому звену, требующему строгого контроля.

Какие технические средства используются для блокировки утечек?

Для защиты применяются Prompt Shields для анализа метаданных и политики Microsoft Purview DLP для сканирования параметров вызовов инструментов. Эти механизмы блокируют передачу чувствительных данных и требуют одобрения человеком для критических операций.

Почему принцип минимальных привилегий недостаточен для агентов?

Даже агент с ограниченными правами доступа может нанести ущерб, если ему предоставлена слишком большая свобода в выборе действий. Поэтому необходимо дополнять контроль доступом принципом минимальной автономии и требовать подтверждения для рискованных операций.

Какие последствия возникают при отсутствии аудита сторонних сервисов?

Изменения в описании инструмента могут активироваться мгновенно, создавая «тихое» окно уязвимости, когда вредоносная логика работает в продакшене без подозрений. Это приводит к росту инцидентов, где ущерб наносится через легитимные, но скомпрометированные каналы взаимодействия.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность; Бизнес; Управление и стратегия

Оценка значимости: 7 из 10

Событие представляет собой глобальный технологический тренд с прямым и долгосрочным влиянием на информационную безопасность России, так как переход к активным ИИ-агентам создает системные риски утечки данных и финансовых потерь для российских предприятий, требующие немедленной перестройки подходов к защите критической инфраструктуры и цепочек поставок программного обеспечения.

Материалы по теме

Китайские хакеры запустили первую ИИ-кампанию без участия людей

Детали первой в истории полностью ИИ-оркестрованной атаки в декабре 2025 года, где протокол MCP использовался для автоматизации сканирования и извлечения данных, служат главным доказательством перехода угроз из теоретической плоскости в реальную практику, подтверждая, что инструменты интеграции стали ключевым вектором для масштабных киберопераций.

Подробнее →
Вредоносный репозиторий на Hugging Face скачали 244 000 раз — кража паролей и криптоключей

Инцидент с вредоносным репозиторием на Hugging Face, скачанным 244 000 раз под видом обновления от OpenAI, иллюстрирует масштаб угрозы «отравления метаданных» в публичных реестрах, а прогноз IDC о внедрении списков материалов (Bill of Materials) к 2027 году обосновывает необходимость жесткого аудита цепочек поставок как обязательного стандарта безопасности.

Подробнее →
Copilot для развлечений: бизнес теряет контроль над критическими решениями

Изменение условий использования Microsoft Copilot, ограничивающее его применение развлекательными целями и снимающее ответственность за финансовые и юридические решения, демонстрирует юридический парадокс: бизнес внедряет ИИ для критических задач, но формально лишен права требовать гарантий точности от вендора, перекладывая все риски на пользователя.

Подробнее →
Ответственность за ошибки ИИ-агентов: 10 млрд долларов убытков лягут на бизнес

Прогноз убытков бизнеса в размере более 10 миллиардов долларов к середине 2026 года из-за штрафов и ошибок алгоритмов подчеркивает экономическую цену «юридического вакуума», доказывая, что традиционная модель ответственности производителя больше не работает в условиях недетерминированного поведения агентов.

Подробнее →