Агенты ИИ (AI agents) и модели создают расширяющуюся поверхность кибератак, предупреждают эксперты по безопасности
Быстрая интеграция искусственного интеллекта (artificial intelligence) в инфраструктуру предприятий вызывает сейсмические изменения в ландшафте кибербезопасности. Пока организации спешат развернуть автономных агентов ИИ и интегрировать крупные языковые модели (LLMs, large language models) через открытые стандарты, исследователи безопасности бьют тревогу из‑за стремительного расширения поверхности атаки. От небезопасных конечных точек, работающих с Model Context Protocol (MCP), до акторов государств, использующих ИИ в кибервойнах, вектор угроз развивается быстрее, чем многие защитные механизмы успевают адаптироваться.
Риск агентного ИИ (agentic AI): новый рубеж
Развертывание агентов ИИ (AI agents) — автономного программного обеспечения, способного выполнять сложные рабочие процессы и принимать решения — ввело уровень уязвимости, с которым традиционные парадигмы безопасности едва справляются. Доктор Margaret Cunningham, вице‑президент по безопасности и стратегии ИИ в Darktrace Inc., отметила на недавнем брифинге Cloud Security Alliance (CSA), что поведенческие паттерны агентного ИИ фундаментально меняют среду безопасности.
В отличие от статических программных инструментов, агенты ИИ требуют обширных разрешений для доступа к данным, общения с другими агентами и выполнения кода. Эта автономность, хотя и повышает эффективность, создаёт проницаемый периметр. Введение Model Context Protocol (MCP) компанией Anthropic в конце 2024 года было призвано стандартизировать способы подключения моделей ИИ к внешним данным и инструментам. Однако недавние выводы свидетельствуют о том, что эта связность далась высокой ценой с точки зрения безопасности.
Уязвимость MCP: 95% «слепых зон»
Одно из самых тревожных открытий — анализ развёртываний серверов MCP. Созданные для того, чтобы служить связующим звеном между LLM и внешними наборами данных, серверы MCP часто развёртываются без надлежащего контроля. Aaron Turner, сотрудник IANS Research, заявил безоговорочно, что ему ещё не удавалось найти «настоящую нативную полно‑стековую безопасность» внутри протокола, предупреждая организации о серьёзных последствиях.
Исследование, проведённое Clutch Security Inc., рисует мрачную картину текущего состояния безопасности MCP:
Table 1: Critical Security Gaps in MCP Deployments
| Metric | Finding | Implication |
|---|---|---|
| Deployment Location | 95% of MCPs run on employee endpoints | Bypasses centralized server security controls |
| Visibility Level | Zero visibility for security teams | IT cannot monitor or audit agent activity |
| Recommended Posture | "Treat as Malware" (Aaron Turner) | Requires strict isolation and zero-trust protocols |
| Attack Vector | CI Pipelines and Cloud Workloads | Potential for supply chain injection and lateral movement |
Тот факт, что подавляющее большинство этих развёртываний размещается на конечных устройствах сотрудников, означает, что они функционируют за пределами поля зрения стандартных серверных средств безопасности. Эта инфраструктура «теневого ИИ» фактически превращает каждый подключённый ноутбук в потенциальную точку входа для злоумышленников, желающих эксплуатировать доверенные соединения, предоставляемые агентам ИИ.
Учащающиеся атаки на инфраструктуру LLM
Угроза не только теоретическая; активная эксплуатация инфраструктуры ИИ уже происходит в масштабе. GreyNoise Intelligence Inc., фирма по анализу фонового интернет‑шума, специализирующаяся на кибербезопасности, задокументировала резкий всплеск враждебной разведки, направленной на конечные точки LLM.
В трёхмесячный период, начавшийся в октябре 2024 года, GreyNoise зафиксировала более 91,000 различных сессий атак, направленных на инфраструктуру LLM. Интенсивность этих кампаний нестабильна: почти 81,000 из этих сессий пришлись на один 11‑дневный период. Эти атаки в основном нацелены на поиск уязвимостей в OpenAI‑совместимых API и форматах Google Gemini, что указывает на автоматизацию обнаружения слабых мест в цепочке поставок ИИ.
Демократизация кибер‑атаки создаёт опасную «полосу нищеты безопасности», концепцию, сформулированную Wendy Nather из 1Password. Пока ресурсоёмкие предприятия могут позволить себе продвинутые защитные механизмы для ИИ, мелкие организации — и менее оснащённые злоумышленники — оказываются по разные стороны расширяющегося разрыва. Злоумышленники с ограниченными ресурсами, включая «script kiddies», теперь используют ИИ для масштабирования своих операций, автоматизируя эксплойты, которые ранее требовали значительных ручных усилий.
Государственные акторы: геополитическая гонка вооружений в сфере ИИ
Помимо оппортунистических преступников, государственные акторы активно интегрируют ИИ в свои наступательные киберспособности. Сообщается, что такие страны, как Iran и China, не только разрабатывают суверенные модели ИИ, но и используют коммерческие инструменты для усиления своих операций по кибервойне.
Iran: Dr. Avi Davidi из Tel Aviv University отмечает, что иранские группы, такие как хакерский коллектив APT-42, активно используют ИИ для сканирования систем промышленного контроля и разведки иностранных оборонных сетей. Наблюдались попытки «обмануть» системы ИИ с целью получения рекомендаций по red‑teaming — по сути, использование ИИ для генерации планов атак.
China: Опасения по поводу Китая сосредоточены на его потенциале превзойти Соединённые Штаты в области ИИ. Colin Kahl, бывший заместитель министра обороны США, предупредил, что хотя в настоящий момент США сохраняют преимущество в качестве моделей, Китай является «близким быстрым последователем» с промышленными мощностями, позволяющими быстро сократить разрыв. Несмотря на экспортные ограничения на передовые микросхемы, распространение оборудования вроде чипов Nvidia H200 в китайских компаниях указывает на ограничения стратегии технологического сдерживания.
Рекомендации по защите рубежей ИИ
По мере расширения поверхности атаки лидерам по безопасности необходимо сместить фокус с реактивного исправления уязвимостей на проактивное управление активами ИИ. Следующие стратегии жизненно важны для смягчения рисков, связанных с агентами ИИ и MCP:
- Изоляция конечных точек: Обращайтесь с развёртываниями MCP на устройствах сотрудников так же строго, как с ненадёжными исполняемыми файлами. Внедряйте строгую песочницу и сегментацию сети, чтобы предотвратить латеральное перемещение.
- Прозрачность прежде всего: Развёртывайте инструменты, специально предназначенные для обнаружения и мониторинга экземпляров «теневого ИИ». Если команды безопасности не видят агентов, они не смогут их обезопасить.
- Zero Trust для агентов: Не доверяйте действиям агента ИИ по умолчанию. Внедряйте проверку «человек в цикле» (human-in-the-loop) для критических действий, особенно тех, которые связаны с выполнением кода или выведением данных.
- Бдительность в цепочке поставок: регулярно проводите аудит сторонних моделей и API, с которыми взаимодействуют ваши агенты. Данные GreyNoise подтверждают, что сама инфраструктура находится под постоянной атакой.
Эпоха агентов ИИ обещает беспрецедентную продуктивность, но, как показывают данные, сейчас она приносит беспрецедентные риски. Для предприятий послание ясно: поверхность атак, связанная с ИИ, уже здесь, она расширяется и требует совершенно новой оборонительной тактики.
