Ты наверняка видел это кино: выходит новая платформа, все хлопают в ладоши, а безопасность «добавим потом патчем». Обычно это «потом» наступает месяцев через 18, когда уже успели обжечься.
С агентными ИИ-системами Nvidia решила сыграть иначе: на GTC сразу показали, что защита — не довесок, а часть старта. Пять компаний объявили, что уже умеют защищать стек Nvidia для агентных ИИ: у четырёх есть реальные внедрения, у одной — ранняя, но подтверждённая интеграция.
Звучит бодро. Но если копнуть, остаются пробелы, из-за которых «умные агенты» могут превратиться в очень быстрых нарушителей порядка.
Почему вообще все так нервничают
Цифры тут неприятно приземлённые.
Почти половина специалистов по кибербезопасности считают агентный ИИ главной точкой атаки на 2026 год. При этом меньше трети компаний чувствуют себя готовыми запускать такое безопасно.
А теперь вишенка: в среднем на одного живого сотрудника в компании приходится 82 «машинных личности» — сервисные аккаунты, ключи, токены, боты, агенты. То есть охранять нужно не только людей, но и целый муравейник цифровых «работников».
И да, атаки на публичные приложения растут — в том числе потому, что ИИ помогает быстрее находить уязвимости. Раньше «прощупать» систему было ремеслом. Теперь это похоже на рыбалку сетью.
На сцене GTC Дженсен Хуанг сформулировал проблему максимально прямолинейно: агент в корпоративной сети может получить доступ к чувствительным данным, выполнить код и общаться наружу. «Очевидно, это нельзя просто так позволять».
Пять этажей, где агент может натворить дел
Чтобы не утонуть в названиях продуктов, держи простую карту: безопасность агентного ИИ раскладывают на пять «этажей». Если хотя бы на одном этаже пусто — агент может проскользнуть.
Первый этаж — решения агента: что он решил и почему. Это защита прямо в момент, когда агент читает запрос, отвечает и делает действие. Риск простой: «ядовитый» ввод — например, хитрый текст в письме или документе — может заставить агента выполнить что-то лишнее: удалить, выгрузить, открыть доступ. Здесь чаще всего звучат CrowdStrike и Cisco.
Второй — локальное выполнение: что происходит на машине. Если агент работает на конкретном железе, нужен надзор за его поведением. Проблема в том, что агент может запуститься тихо и жить там почти как обычная программа — и никто не заметит. У CrowdStrike есть защита конечных устройств, а у WWT — стенд, где всё тестируют до боевого запуска.
Третий этаж — облако: как агент ведёт себя там, где крутится большинство корпоративных сервисов. Контроль того, с какими сервисами он общается, какие права использует, не «переползает» ли на соседние системы. Palo Alto Networks делает ставку на проверку трафика на уровне сетевого железа — то есть «ниже» операционной системы. Логика понятная: если хочешь ловить странности, полезно смотреть на провода, а не только на окна.
Четвёртый — идентичность: какие права у агента. У него должна быть своя «корочка» — строго ограниченные права, а не «наследуем всё, что нашли». Главный риск — цепочки делегирования: агент передал права второму, второй третьему, и в какой-то момент ты уже не понимаешь, кто и почему имеет доступ к базе клиентов.
Пятый этаж — цепочка поставки: что ты вообще запускаешь. Агенты — это не только «модель». Это навыки, плагины, куски кода, обновления. И всё это можно «подсунуть». JFrog предложили реестр «навыков агента»: место, где компоненты можно проверять и подписывать до того, как они попадут в работу. Это единственный этаж, который работает до запуска, а не во время. Поставить защиту на входе обычно дешевле, чем потом ловить то, что уже убежало.
Почему «радиус поражения» у агента больше, чем у человека
Один из руководителей CrowdStrike описал разницу грубо, но честно: человек-атакующий должен спать. Агент — нет.
Украденные учётные данные у человека ограничены биологией: скорость рук, внимание, смена, усталость. Агент с унаследованными правами работает на скорости вычислений и может ходить по сервисам, базам и другим агентам без перерыва на обед и моральные страдания.
И вот тут появляется опасная математика: даже если система «точная на 96%», остаются 4% ошибок. Если при этом всё стало в 5 раз быстрее, то ошибки прилетают в 5 раз быстрее. Служба безопасности, которая привыкла жить в человеческом темпе, начинает выглядеть как МФЦ, куда внезапно завезли бесплатные справки на весь район.
Три дыры, которые пока никто не заткнул
Даже с пятью вендорами стек всё равно не закрывает три темы.
Первая — доверие между агентами. Когда они делегируют задачи друг другу, права «размножаются». Это уже не вопрос инвентаризации, а вопрос управления цепочками доверия: кто кому может передавать доступ и на каких условиях. Плюс есть неприятная статистика по MCP-серверам — это прослойки, через которые агенты подключают внешние инструменты: в большом скане уязвимости находили примерно у трети из них.
Вторая — память агента. Если у него есть долговременная память, это новая поверхность атаки. Один раз «отравил» память — и через недели агент принимает решения с учётом внедрённой гадости. Про контроль намерений говорят как про шаг в эту сторону, но до понятных, массовых механизмов ещё далеко.
Третья — непрерывная «подлинность» от реестра до запуска. JFrog может проверить и подписать компонент в реестре. Но нужно ещё доказать, что в работу запустилось ровно то, что проверяли и подписывали. Эта «последняя миля» — инженерная задача, а не готовая галочка.
Пять вендоров — это проект, а не галочка в консоли
Даже если бюджеты есть, есть другая валюта — внимание команды.
Когда два «охранника» смотрят на один и тот же запрос и выдают разные вердикты, кто главный? Кто настраивает правила? Кто сводит сигналы тревоги в один инцидент? Кто отвечает, когда обновление одного слоя ломает поведение другого?
Запустить всё разом — это проект интеграции. Разумная последовательность выглядит так: сначала закрыть цепочку поставки, чтобы в работу не приехало что попало; затем — права и идентичности, чтобы сузить радиус поражения; потом — контроль решений агента и облачный слой; и только дальше — локальные штуки и полевые испытания.
Что в этой истории реально новое
Новое не в том, что появились киберугрозы. Новое в том, что большая платформа наконец выпустилась сразу с набором защитных слоёв, а не с надеждой на «потом как-нибудь».
Но агентный ИИ — как робопылесос с доступом к сейфу. Он может быть очень полезным. Просто не стоит удивляться, если без нормальных правил он однажды решит, что «навести порядок» — это выбросить половину твоих файлов, а второй половиной поделиться «наружу для удобства».