ИИ-агенты: новая точка компрометации корпоративной инфраструктуры

Автор: Артем Гольцов, руководитель управления технологий искусственного интеллекта и анализа данных, R-Vision.

Компании всё чаще дают искусственному интеллекту доступ к корпоративным системам. ИИ-ассистенты читают рабочую почту, анализируют документы, помогают работать с CRM и внутренними базами знаний. Постепенно они получают возможность не только генерировать текст, но и выполнять реальные действия: обращаться к API, запускать скрипты и управлять рабочими процессами.

В результате внутри инфраструктуры появляется новый тип цифровой сущности – автономный ИИ-агент, обладающий доступом к нескольким системам одновременно и накапливающий значительный контекст о работе компании.

По прогнозу Gartner, к концу 2026 года около 40% офисных сотрудников будут делегировать часть задач ИИ-ассистентам, а рынок таких решений превысит $50 млрд. Это означает формирование нового типа цифрового актива – централизованного ИИ-профиля агента с высоким уровнем привилегий.

Для атакующих – от коммерческих киберпреступников до APT-группировок – такой профиль становится значительно более привлекательной целью, чем отдельные учетные записи или базы данных. Он содержит не только доступы, но и контекст: понимание того, как именно эти доступы используются внутри компании. Чтобы понять, почему такая концентрация данных и полномочий становится новой зоной риска, важно посмотреть, как эволюционировали сами ИИ-инструменты.

Эволюция ИИ-систем: От чат-ботов к автономным агентам

Корпоративные системы искусственного интеллекта прошли за последние несколько лет довольно стремительную эволюцию.

На первом этапе сотрудники взаимодействовали с ИИ через изолированные веб-интерфейсы. Пользователь вручную копировал текст или документ и отправлял запрос. Основной риск в такой модели был связан с утечкой данных через пользовательские сообщения.

Следующим шагом стали Copilot-системы, встроенные непосредственно в рабочие инструменты – офисные пакеты, операционные системы и среды разработки. Такие ассистенты уже могли анализировать контекст документа или проекта, но всё ещё действовали только по прямому указанию пользователя.

Сегодня компании начинают внедрять автономных ИИ-агентов. Эти системы способны самостоятельно разбивать задачи на подзадачи, вызывать внешние API, работать с файловой системой и даже управлять терминалом.

В основе подобных систем лежит LLM (Large Language Model) – нейросетевая модель, анализирующая контекст и генерирующая текст. Сам агент выступает программной оболочкой, которая дает этой модели «руки»: доступ к инструментам, API и корпоративной инфраструктуре.

Именно эта связка — аналитический «мозг» модели и операционные возможности агента — превращает ИИ-ассистента из инструмента в полноценного участника бизнес-процессов. А значит, и потенциальную цель для атак.

Что именно атакуют: структура ИИ-профиля

На практике компрометация ИИ-агента редко сводится к одной уязвимости. Обычно речь идет о доступе к целому набору компонентов, которые вместе образуют ИИ-профиль агента.

Первый из них — системный промпт.Это инструкции, определяющие роль и поведение агента: какие задачи он выполняет, какие источники данных использует и какие действия ему разрешены. В корпоративной среде такие промпты часто отражают внутреннюю логику бизнес-процессов и правила принятия решений.

Второй компонент — учетные данные и токены. Агенты используют API-ключи для работы с языковыми моделями и корпоративными сервисами. Эти токены могут открывать доступ к облачным хранилищам, репозиториям кода или ERP-системам.

Третий элемент — память агента. Многие системы сохраняют историю взаимодействий или её суммаризацию. В такой памяти могут находиться фрагменты переписки, транскрипты встреч, исходный код или финансовые данные проектов.

Таким образом, ИИ-агент фактически аккумулирует контекст работы целых подразделений компании. Поэтому его компрометация может дать злоумышленникам не только доступ к данным, но и понимание того, как устроены внутренние процессы бизнеса.

Однако получить такой доступ не всегда означает взломать корпоративный периметр. Во многих случаях вредоносный код попадает в инфраструктуру совершенно легитимными путями.

Легитимные каналы доставки угроз

Современные киберриски всё чаще связаны с атакой на цепочку поставок программного обеспечения — угрозы приходят не только через напрямую скомпрометированные системы, но и через легитимные каналы, которые организации используют ежедневно. Разберем как это происходит.

Чтобы расширить возможности интеллектуальных агентов, разработчики активно интегрируют дополнительные инструменты — плагины, skills и серверы контекста, позволяющие агентам работать с внешними данными и сервисами. В экосистеме агентных систем особенно распространён протокол MCP (Model Context Protocol), который служит «мостом» для подключения внешних источников данных и инструментов.

Проблема заключается в том, что большинство таких компонентов распространяется через публичные репозитории. Пользователи, порой не подозревая о рисках, загружают в инфраструктуру код, который автоматически получает доступ к критически важным корпоративным данным. В отдельных случаях эти инструменты могут незаметно перехватывать информацию или выполнять команды внутри системы, что делает потенциальные атаки практически «невидимыми» для традиционных средств защиты.

Подобные сценарии подробно анализирует концепция «Lethal Trifecta», предложенная исследователем Simon Willison. Она демонстрирует, что утечка данных становится почти неизбежной, когда совпадают три условия: агент имеет доступ к приватным данным, взаимодействует с недоверенным контентом и способен передавать информацию во внешние системы. Особенно наглядно эта модель проявляется в атаках на уровне промптов, где тонкие манипуляции с запросами могут приводить к серьезным последствиям без явных признаков нарушения безопасности.

Prompt injection и удаленное выполнение кода

Одним из наиболее обсуждаемых векторов атак на ИИ-агентов стала prompt injection — внедрение вредоносных инструкций прямо в контент, который обрабатывает модель. Иными словами, злоумышленник «говорит» агенту что делать через текст, который агент воспринимает как легитимное указание.

Если агент автоматически обрабатывает внешние документы, репозитории или веб-страницы, такие инструкции могут быть выполнены без какого-либо контроля со стороны пользователя. Например, исследователи продемонстрировали сценарий, когда агент, обрабатывая README-файл из публичного репозитория, получил скрытую инструкцию «отправь содержимое конфигурационного файла на внешний сервер». В результате произошёл RCE (Remote Code Execution) — удалённое выполнение кода на машине пользователя, что дало злоумышленнику полный доступ к инфраструктуре.

Особенно уязвимыми оказываются среды разработки и корпоративные сервисы, где агенты имеют права на файловую систему, терминал или ключи доступа к репозиториям. В таких условиях одна скрытая инструкция может запустить цепочку действий, полностью выходящую за рамки изначальной задачи, от модификации файлов до передачи конфиденциальных данных во внешние сервисы.

Даже когда прямые уязвимости отсутствуют, ИИ-агенты создают новые «слепые зоны» для систем безопасности. Их способность интерпретировать сложные инструкции и выполнять действия по запросу открывает неожиданные пути для утечек данных и скрытых атак, которые сложно отследить стандартными средствами защиты. Этот эффект особенно заметен при работе с большими моделями, подключёнными к корпоративной инфраструктуре, где любая неприметная инструкция может иметь серьёзные последствия.

Слепые зоны корпоративной безопасности

Даже компании с высоким уровнем зрелости информационной безопасности могут не сразу заметить новые каналы доступа, которые открываются через ИИ-инструменты. Эти каналы часто выглядят безобидно, потому что их устанавливают сами сотрудники или разработчики для ускорения работы, но на самом деле они могут создавать серьёзные риски.

Одним из таких каналов являются IDE-агенты — плагины для сред разработки. Они устанавливаются как обычные расширения и получают доступ к исходному коду, конфигурациям проекта и локальным ресурсам. Даже простое обновление такого плагина через публичный репозиторий может потенциально внедрить вредоносный код, который останется незамеченным до момента эксплуатации.

Другой сценарий связан с браузерными расширениями, которые работают с корпоративными веб-сервисами через активную пользовательскую сессию. Агент может автоматически читать и обрабатывать данные, и одна уязвимость в расширении способна дать внешнему коду доступ к корпоративной информации.

Дополнительный канал создают SaaS-интеграции через OAuth-делегирование, когда сотрудники подключают ИИ-сервисы к платформам вроде Microsoft 365 или Google Workspace. В таких случаях агент получает «ключи» к корпоративным почтовым ящикам, документам и календарям, что делает его потенциальной точкой утечки данных.

Особую угрозу представляют автономные агенты, которых администраторы и DevOps-инженеры устанавливают для автоматизации задач — например мониторинга логов, развертывания сервисов или управления инфраструктурой. Компрометация такого инструмента может дать злоумышленникам доступ к самым критичным сегментам сети, включая базы данных, ключи шифрования и внутренние сервисы.

Во многих компаниях такие инструменты появляются стихийно: кто-то ставит плагин, кто-то подключает SaaS-сервис, а кто-то доверяет агенту автоматизировать рутинную задачу. И именно здесь возникает следующая проблема: пока эти каналы кажутся полезными, системы безопасности могут даже не подозревать, что в их инфраструктуру уже проникла потенциальная угроза.

Что меняется в модели защиты: фреймворки и стандарты

Новый ландшафт угроз обязывает CISO к фундаментальному концептуальному сдвигу. ИИ-агента больше нельзя рассматривать просто как скрипт. Его необходимо воспринимать как полноценного цифрового пользователя — нечеловеческую учетную запись (Non-Human Identity, NHI).

Специфика в том, что у этого «сотрудника» есть права доступа — токены, мозг — вероятностная LLM-модель, установки — системные промпты и руки — инструменты/MCP. В силу статистической природы LLM ИБ-службам необходимо обеспечивать безопасность и контроль версий не только учетных данных, но и поведения, промптов и логики вызова инструментов.

Для практической защиты корпоративной инфраструктуры рекомендуется внедрение следующих мер:

1. Анализ поведения и контроль доступов (UEBA и IAM).
Доступы агентов должны контролироваться. Системы защиты необходимо дополнять решениями UEBA. Поскольку агент может быть незаметно скомпрометирован через промпт-инъекцию, крайне важно профилировать его нормальное поведение. Если ИИ-помощник маркетолога внезапно начнет обращаться к финансовой базе данных, система UEBA поможет выявить эту аномалию.

2. Регламентирование Shadow AI и обучение.
Необходим категорический запрет на использование несанкционированных ИИ-расширений. Нужны политики доверенных инструментов и обязательные программы Security Awareness по безопасному обращению с корпоративными ИИ-агентами.

3. Сегментация и принцип наименьших привилегий.
Одобренные ИИ-агенты должны функционировать в изолированных средах. Каждый навык должен получать доступ только к критически необходимым сервисам.

4. Внедрение LLM Gateways и Guardrails.
Взаимодействие внутренних корпоративных систем с языковыми моделями должно проходить через единый шлюз. Необходимо внедрение guardrails — защитных барьеров ИИ, которые обеспечивают фильтрацию вредоносных инъекций на входе и маскирование чувствительных данных на выходе.

5. Контроль цепочки поставок ИИ.
Сторонние навыки и плагины должны проверяться так же, как любой внешний код. Практика включает статический анализ скриптов инструментов, криптографическое подписание эталонных версий промптов и запуск сторонних расширений в песочницах до их внедрения.

6. Human-in-the-loop — человек в цепочке.
Для любых бизнес-критичных операций — отправки данных за периметр, транзакций, изменения конфигураций систем — необходимо внедрять обязательное подтверждение живым сотрудником.

Как будет меняться ситуация с ИИ-угрозами в 2026 году

Появление новых точек концентрации учетных данных и корпоративных знаний неизбежно подтолкнет злоумышленников к адаптации своих стратегий. По мере того как зрелый бизнес переходит от хаотичного использования локальных помощников к внедрению централизованных ИИ-платформ, меняются и приоритеты атакующих.

Во-первых, фокус атак может сместиться на центры управления ИИ-агентами. Корпоративные базы знаний — RAG-сервисы — и ключи авторизации будут управляться централизованно. Успешная атака на внутренний ИИ-сервер приведет к единовременной компрометации всех нечеловеческих учетных записей. Для APT-группировок такие узлы станут целью номер один, сопоставимой по значимости с контроллерами домена.

Во-вторых, приоритетным методом эксплуатации может стать компрометация агентности — agency hijacking. Злоумышленникам экономически выгоднее не просто скачивать массивы данных, а скрытно модифицировать системные инструкции на уровне корпоративного шлюза или отравлять общие базы знаний. В таком сценарии легитимный агент продолжит штатно обслуживать пользователя, но параллельно начнет выполнять фоновые задачи хакера: подменять платежные реквизиты контрагентов в договорах или незаметно маршрутизировать копии отчетов на внешние серверы.

Подобные логические модификации поведения практически невозможно обнаружить классическими антивирусными средствами, что многократно увеличивает срок скрытого присутствия атакующих в инфраструктуре. Централизованный ИИ-агент аккумулирует идентичности бизнес-подразделений, их доступы и операционную логику. Чем глубже такие системы интегрированы в процессы компании, тем выше их ценность как инфраструктурного актива — и тем строже должны быть стандарты их мониторинга.