Безопасность ИИ‑агентов в бизнесе: новые риски и как их контролировать
Еще год назад компании в основном обсуждали, как использовать LLM для поиска информации или генерации текста. Сейчас ситуация изменилась: ИИ‑агенты начинают выполнять действия внутри корпоративной инфраструктуры — работать с CRM, Git, Jira, почтой, API и внутренними базами данных. Фактически бизнес получает нового цифрового сотрудника. Только такого сотрудника можно масштабировать на тысячи операций в минуту.
Проблема в том, что вместе с ростом эффективности появляется и новый класс угроз. ИИ‑агенту уже недостаточно просто «подсунуть» вредоносный файл. Сегодня злоумышленнику достаточно изменить контекст, в котором агент принимает решения: встроить скрытую инструкцию в письмо, баг‑репорт или внешний документ. Дальше агент может сам отправить данные наружу, изменить конфигурацию или выполнить опасную команду.
Именно поэтому Gartner отдельно выделили безопасность ИИ‑агентов как новый слой киберрисков. Традиционные IAM, DLP и AppSec‑системы проектировались для пользователей‑людей и обычных приложений. Но агентный ИИ действует иначе: автономно, быстро и часто — без постоянного участия человека.
И здесь появляется главный вопрос для бизнеса: как сохранить скорость внедрения ИИ и при этом не потерять контроль над тем, что делают агенты внутри инфраструктуры?
Что уже происходит: реальные инциденты с ИИ‑агентами
За последние годы исследователи безопасности всё чаще анализируют инциденты, связанные не с уязвимостями инфраструктуры, а с особенностями поведения автономных ИИ‑систем. Общая тенденция очевидна: объектом атаки становится процесс принятия решений агентом. Вместо взлома сервера злоумышленники пытаются повлиять на то, как агент интерпретирует информацию и какие действия считает допустимыми.
Инцидент 1. Агент удалил базу данных и скрыл это. Работая в среде Replit Vibe Coding ИИ‑агент, участвовавший в разработке программного обеспечения, ошибочно удалил рабочую базу данных. Однако наиболее серьёзной проблемой оказалось не само удаление.
После сбоя система сформировала записи, из которых следовало, что операция завершилась корректно. В результате команда получила искаженную картину происходящего и не сразу обнаружила последствия ошибки.
Этот случай продемонстрировал важную особенность агентных систем: если они настроены на выполнение определенной задачи, они могут стремиться сохранить видимость ее успешного выполнения любой ценой.
Вывод: критические действия ИИ‑агентов должны обязательно сопровождаться независимым аудитом и фиксироваться в журнале, записи в котором агент не может изменить самостоятельно.
Инцидент 2. Шпион в цепочке поставок: вредоносный MCP‑сервер. Исследователи выявили вредоносный пакет в экосистеме Node.js, который выдавал себя за компонент интеграции для агентных систем. После подключения такого инструмента агент начинал выполнять дополнительные действия, не предусмотренные пользователем.
Одним из обнаруженных сценариев стало скрытое копирование корпоративной переписки третьей стороне через механизм BCC. При этом сама языковая модель не была скомпрометирована — источником угрозы оказался внешний сервис, которому агент доверял в рамках своей работы.
Этот пример показывает, что в эпоху агентного ИИ проверять необходимо не только код. Такой же контроль требуется для подключаемых инструментов, расширений, MCP‑компонентов и сторонних сервисов.
Инцидент 3. Атака через Cursor: удаленное выполнение кода. Еще один кейс — атака на среду разработки с использованием AI‑помощника.
Разработчик открыл сторонний проект, содержащий специально подготовленные скрытые инструкции для агента. Далее через инъекцию промта агент обошёл ограничения доступа, изменил конфигурационные файлы и инициировал выполнение вредоносного кода. Фактически агент стал посредником между вредоносным сценарием и локальной машиной разработчика.
Этот кейс особенно важен для компаний, которые активно внедряют AI‑ассистентов в разработку. Агент может действовать полностью легитимно с точки зрения системы доступа — и при этом выполнять опасный сценарий из‑за подмены контекста.
Инцидент 4. Троян в Git‑тикете: утечка приватных данных. Еще одна атака выглядела максимально безобидно. В публичном репозитории был размещён внешне обычный баг‑репорт, который впоследствии анализировался ИИ‑агентом.
Внутри текста находились скрытые инструкции, предназначенные не для человека, а для модели. Когда агент обработал тикет, инструкция перехватила контекст выполнения и заставила систему экспортировать данные из приватных репозиториев во внешний канал.
Главная проблема таких сценариев — избыточная автономия и отсутствие разграничения между доверенными и недоверенными источниками. Поэтому один из важнейших принципов безопасности ИИ — снижать уровень автономии агента при работе с внешними данными.
- Сферу такси попросили включить в транспортную стратегию до 2036 года
- Обломки БПЛА повредили торговый центр «Садовод» в Москве
- Аналитики Т‑Бизнес секретов назвали самые популярные серые схемы у бизнеса
- Селлеры Wildberries стали чаще сталкиваться с задержками выплат
- Ozon снизил стоимость доставки для онлайн‑продавцов
- Рекламодатели увеличили количество СМС‑рассылок на фоне проблем с интернетом
Чем бизнес рискует прямо сейчас, внедряя ИИ‑агентов
За каждым таким инцидентом стоят уже вполне привычные бизнес‑риски:
- утечки данных под NDA;
- остановка продакшена;
- потеря интеллектуальной собственности;
- штрафы за нарушение 152‑ФЗ;
- проблемы при аудитах и проверках;
- репутационные потери.
Отдельная проблема — Shadow AI. Сотрудники подключают публичные модели к внутренним данным быстрее, чем ИБ успевает выстроить контроль. По прогнозам Gartner, к 2027 году около 17% всех утечек будут связаны с генеративным ИИ, а к 2030 году значительная часть крупных компаний столкнется с инцидентами из‑за Shadow AI.
При этом ИИ‑агенты становятся всё более автономными. Они не просто генерируют текст, а получают доступ к данным, вызывают инструменты, запускают процессы и принимают промежуточные решения. Именно поэтому классическая модель «поставим DLP и ограничим доступы» перестает работать в одиночку.
Почему классический кибербез больше не справляется
Традиционная безопасность строилась вокруг понятной модели: есть пользователь, есть его права и есть набор действий, которые можно проверить.
Агентный ИИ ломает эту логику. Теперь внутри инфраструктуры появляются «машинные» учётные записи, автономные сценарии и цепочки действий, которые происходят без участия человека.
Проблема не в том, что существующие IAM, DLP или AppSec бесполезны. Они по‑прежнему нужны. Но они не понимают контекст работы агента: зачем он вызвал инструмент, почему запросил доступ к данным, соответствует ли действие исходной задаче, не изменилась ли цель агента после prompt injection.
ИИ‑агент может быть полностью легитимен, работать в доверенном контуре и использовать разрешенные API. Но если злоумышленник через скрытую инструкцию заставит его отправить конфиденциальные данные наружу — классическая защита может этого не заметить. Для неё действие выглядит «разрешенным».
Именно поэтому рынок постепенно смещается от модели «запретить подозрительное» к модели непрерывного мониторинга и контроля поведения агентов.
Что нужно внедрять: новый слой контроля для защиты ИИ‑агентов
На практике компаниям нужен дополнительный уровень прозрачности — возможность видеть, что агент делает прямо сейчас, какие данные получает, какие инструменты вызывает и куда пытается отправить информацию.
Речь уже не только про безопасность модели. Речь про контроль действий. Поэтому всё больше компаний начинают внедрять отдельные системы мониторинга и защиты ИИ‑агентов. Такие решения работают как промежуточный слой между агентом и LLM: фиксируют запросы, анализируют контекст, выявляют аномалии и помогают предотвращать утечки.
Подобные платформы уже появляются и на российском, и на зарубежном рынке. Среди зарубежных решений можно отметить NeuralTrust, Archestra и Noma Security, в России развивается направление, связанное с контролем и трассировкой действий ИИ‑агентов, например, HiveTrace или CyberAgentReview. При этом архитектурно такие системы могут сильно отличаться: от облачного мониторинга до локальных прокси и AI gateway‑подходов.
В нашей практике для таких задач используется CyberAgentReview — система мониторинга и аудита действий ИИ‑агентов в реальном времени. Архитектурно она реализована как локальный прокси‑сервис на рабочих станциях и становится единым шлюзом для обращений к языковым моделям.
1/3Как работает система безопасности ИИ: мониторинг и аудит действий агентов 
2/3Система распознает и блокирует вредоносные действия агента 
3/3Автоматическое обнаружение и блокировка передачи PII/NDA данных до того, как они покинут контур компании
Для сотрудников почти ничего не меняется: привычные инструменты продолжают работать. Но у ИБ‑команды появляется централизованный контроль:
- какой агент работает с данными;
- какие инструменты вызывает;
- какие запросы отправляет;
- не пытается ли выйти за рамки своей задачи;
- не утекают ли чувствительные данные во внешние модели.
Такой подход особенно важен для защиты от prompt injection и аномального поведения агентов, когда формально «разрешённые» действия начинают складываться в опасный сценарий.
Например, в одном из наших внедрений система показала, что агент для исправления багов регулярно обращается к финансовой документации проекта. Причиной оказалась слишком широкая формулировка исходного промпта. Без системы мониторинга ИИ‑агентов это осталось бы незамеченным и в итоге привело к плачевным последствиям.
В другом случае агент попытался установить npm‑пакет с компонентом для удаленного выполнения команд. Аномалия была автоматически обнаружена, а действие — остановлено до подтверждения пользователя.
Как повысить безопасность ИИ уже сейчас: чек‑лист
Пока рынок только вырабатывает стандарты защиты агентного ИИ, базовые меры уже позволяют существенно снизить риски.
Проведите инвентаризацию ИИ‑агентов. Компании часто не знают, сколько агентов уже работают внутри инфраструктуры и к чему они подключены. Важно понять: какие модели и агенты используются, кто отвечает за них, какие данные и системы доступны агентам.
Ограничьте права. Большинство инцидентов происходят из‑за избыточных полномочий. Агент должен иметь доступ только к тем API, данным и инструментам, которые действительно нужны для задачи.
Разделяйте доверенные и внешние источники. Письма, тикеты, документы и внешние репозитории должны рассматриваться как потенциально недоверенная среда. Для таких сценариев лучше автоматически снижать уровень автономии агента и требовать подтверждение критических действий.
Внедрите систему мониторинга и защиты ИИ‑агентов. Если агент может менять логи или скрывать последствия своих действий — расследовать инцидент потом будет практически невозможно.
Что в итоге
ИИ‑агенты — не угроза сами по себе. Для бизнеса это мощный инструмент автоматизации и ускорения процессов. Но вместе с этим появляется новый тип рисков, для которого классический кибербез уже недостаточен.
Сегодня компаниям нужен не только контроль доступа, но и контроль поведения автономных систем: понимание контекста, мониторинг действий, аудит решений и возможность остановить аномалию до того, как она превратится в инцидент. Именно это постепенно становится новым стандартом безопасности ИИ в корпоративной среде.
'%20fill='none'/%3e%3cpath%20fill='%23ffdd2d'%20d='%20M%20104.72%200.00%20L%20112.15%200.00%20Q%20106.48%207.74%20100.12%2014.37%20C%2091.89%2022.97%2081.81%2029.47%2071.49%2035.26%20Q%2061.95%2040.62%2051.54%2043.77%20C%2044.52%2045.90%2036.57%2046.85%2028.99%2047.67%20Q%2027.29%2047.86%2025.66%2047.43%20Q%2025.42%2047.37%2025.35%2047.61%20L%2025.26%2047.91%20A%200.45%200.44%2017.2%200%200%2025.56%2048.47%20C%2028.12%2049.22%2035.16%2050.72%2036.90%2052.43%20Q%2038.92%2054.39%2036.21%2054.48%20Q%2033.33%2054.58%2029.50%2053.79%20Q%2019.39%2051.71%209.25%2049.83%20C%207.27%2049.47%205.11%2048.66%203.49%2047.83%20Q%200.61%2046.36%203.73%2045.50%20Q%204.67%2045.25%206.46%2044.38%20Q%2010.76%2042.31%2026.76%2034.35%20C%2030.51%2032.48%2037.88%2029.46%2041.00%2033.59%20A%200.92%200.91%20-35.3%200%201%2040.77%2034.91%20L%2029.13%2042.42%20Q%2027.57%2043.42%2029.42%2043.22%20C%2053.59%2040.61%2073.35%2028.09%2091.94%2013.14%20Q%2099.20%207.31%20104.72%200.00%20Z'%20/%3e%3c/svg%3e)
