В 2025 году злоумышленники активно использовали вредоносные промпты для компрометации ИИ-инструментов в более чем 90 компаниях, похищая конфиденциальную информацию и криптоактивы. Однако все эти инциденты имели существенный барьер: взломанные системы обладали лишь правами на чтение, что исключало возможность прямого вмешательства в критическую инфраструктуру.
Ситуация кардинально изменилась с внедрением автономных SOC-агентов в корпоративную среду. Новое поколение ИИ-помощников наделено полномочиями не только проводить глубокий анализ, но и самостоятельно корректировать системные конфигурации: от изменения параметров межсетевых экранов и политик управления доступом (IAM) до полной изоляции конечных узлов сети.
Поскольку подобные манипуляции проходят через легитимные API-вызовы и учетные записи, атака остается практически невидимой для традиционных средств защиты. Хакеру больше не нужно взаимодействовать с сетью напрямую — достаточно «скорректировать» поведение агента, заставив его саботировать систему изнутри.
Технологические гиганты уже активно внедряют эту архитектуру. Cisco Systems представила решение AgenticOps for Security, способное автономно устранять угрозы на уровне фаерволов и контролировать соблюдение политик безопасности. В свою очередь, компания Ivanti запустила экосистему Neurons, сочетающую инструменты автоматизированного управления, проверки и исполнения команд.
Согласно отчету Global Threat Report 2026 от CrowdStrike, количество атак с использованием ИИ за год увеличилось на 89%. Эксперты подчеркивают, что искусственный интеллект не только ускоряет реализацию угроз, но и сам становится приоритетной целью. Рост «агентной инфраструктуры», включающей уязвимые MCP-серверы, создает дополнительные риски, которые, по мнению Национального центра кибербезопасности Великобритании, практически невозможно полностью нейтрализовать.
Перечень актуальных угроз для агентных систем (OWASP Agentic Top 10) теперь включает такие критические векторы, как подмена целей агента, несанкционированное использование инструментов и компрометация идентификационных данных.
Полный список содержит 10 классов рисков: «перехват» целей (agent goal hijacking) путем модификации входных данных; злоупотребление доступными инструментами; манипуляция учетными данными; атаки через сторонние плагины; выполнение вредоносного кода; «отравление» памяти; небезопасный обмен данными между агентами; каскадные сбои при цепочечном выполнении задач; использование доверия пользователя к агенту; а также дрейф поведения модели во времени.
Проблема масштабируется с угрожающей скоростью. Аналитики Palo Alto Networks отмечают, что в современной корпоративной сети соотношение машинных и человеческих учетных записей достигает 82:1, и появление каждого нового агента лишь усугубляет этот дисбаланс.
Статистика неутешительна: 47% компаний уже сталкивались с аномальным поведением ИИ-агентов, и лишь 5% организаций выразили уверенность в способности оперативно изолировать скомпрометированный узел.
Хотя индустрия пытается интегрировать защитные механизмы непосредственно в архитектуру ИИ, главный вопрос остается открытым: смогут ли системы контроля опережать развитие прав и возможностей автономных агентов? Переход от пассивных инструментов к системам, способным переписывать инфраструктуру, меняет саму парадигму угроз: теперь компрометация ИИ — это не просто утечка данных, а прямая угроза жизнеспособности всей корпоративной сети.
Источник: iXBT
