Все заметки
У 65% компаний уже был инцидент безопасности с агентом

7 июня 2026 г.

У 65% компаний уже был инцидент безопасности с агентом

У двух третей организаций уже случился инцидент безопасности с участием ИИ-агента — не редкая катастрофа, а обычный вторник. И причина не в сошедшей с ума, рассогласованной модели, делающей что-то злое. Это идеально послушный агент, получивший доступ к данным, которых ему вообще нельзя было давать. Агентная утечка 2026-го скучна: это сверхпривилегированная identity, делающая ровно то, что ей разрешили. И это хорошая новость, потому что у скучных проблем — скучные решения, если относиться к агенту как к тому, чем он является.

Цифра, с которой стоит посидеть: у 65% организаций уже был инцидент безопасности с участием ИИ-агента за последний год — по данным исследований, собранных этой весной. Не нависающий риск, а то, что уже случилось примерно с двумя из трёх компаний, крутящих агентов. А ещё у 82% в инфраструктуре крутятся «неизвестные» ИИ-агенты — агенты, которых вообще никто не отслеживает. Агентная утечка не приближается. Она уже пришла и стала рутиной.

Вот часть, которая важнее всего, — потому что это не та история, которой вас учили бояться.

Это не взбунтовавшийся ИИ. Это вежливый, с лишними ключами.

Sci-fi-версия риска агентов — рассогласованная модель, идущая делать что-то зловредное. Не это реально вредит людям. Исследование прямо: у компаний с инцидентами беда не в моделях, производящих вредный вывод, — беда в корректно работающих моделях, получивших доступ к данным, которых им нельзя было давать с самого начала.

Перечитайте, потому что это полностью меняет, куда смотреть. Агент не сломался. Он сделал ровно то, что ему позволено. Баг был не в поведении модели — а в правах, которые ему кто-то выдал. Самый частый ущерб обыден: утечка данных (61% инцидентов), операционный сбой и непреднамеренное действие агента в бизнес-процессе. Послушный агент с доступом не к тому — это утечка, ждущая триггера, и большинство агентов именно таковы.

Почему агенты по умолчанию сверхпривилегированы

Это происходит по структурной причине. Мы десятилетиями строили гигиену identity для людей: каждому свой логин, минимум прав, ревью доступов, отзыв при увольнении. Агенты пришли и пропустили всё это. Цифры мрачны: лишь около 22% команд вообще считают агентов носителями identity, 46% всё ещё используют общие API-ключи, а четверть развёрнутых агентов может создавать и нагружать других агентов.

Подумайте, что это значит. Общие ключи — значит вы не скажете, какой агент что сделал. Агенты, плодящие агентов, — значит доступ множится без чьей-либо выдачи. И почти никто не убирает за собой: лишь около пятой части организаций имеет реальный процесс вывести агента из эксплуатации и отозвать его доступ, когда он больше не нужен. Машинных identity в большинстве компаний теперь больше, чем человеческих, и гигиена, построенная под людей, просто не выживает при таком соотношении. Поэтому отчёт за отчётом приходят к одной строке: identity — это плоскость управления для агентного ИИ.

Хорошая новость: у скучных проблем — скучные решения

Вот почему меня это почти обнадёживает. Если бы угрозой был непредсказуемый зловредный ИИ, вы были бы беспомощны. Но «сверхпривилегированная identity, делающая то, что ей разрешили» — одна из старейших и решённых проблем безопасности. Новая наука не нужна. Нужно применить дисциплину, которую вы и так знаете, к новому виду пользователя.

  • Дайте каждому агенту свою identity. Никаких общих ключей. Если вы не можете сказать, какой агент совершил действие, инцидент вы уже проиграли. Это тот же принцип, что и аутентификация без вариантов для инструментов агента, поднятый на слой identity.
  • Минимум прав, под задачу. Агент должен мочь тронуть минимум, который ему нужен, и ничего больше. Большинство инцидентов — это доступ, который никто не оспорил; так оспорьте. По умолчанию слишком мало, добавляйте намеренно.
  • Короткоживущие учётки, а не постоянный доступ. Агенту, которому данные нужны для задачи, надо выдать токен, который истекает, а не вечный ключ, лежащий и ждущий утечки. (18 миллионов раскрытых API-ключей всплыли в криминальных датасетах в этом году; постоянство — враг.)
  • Кнопка остановки и процесс вывода из эксплуатации. Вы должны уметь мгновенно отозвать агента и реально удалить его — вместе с доступом — когда он отправлен на покой. Агент, которого никто не помнит, — это всё ещё дверь, за которой никто не следит.

Ничего экзотического. Это гигиена доступа, которую мы применяем к сотрудникам, наконец применённая к нечеловеческим «сотрудникам», которые теперь их превосходят числом.

Суть

Агентная утечка уже случилась — у большинства компаний — и будет случаться дальше, но не потому, что ИИ что-то замышляет. Она случается, потому что мы выдавали агентам широкий, постоянный, общий, неотслеживаемый доступ и делали удивлённый вид, когда этот доступ использовался. Агент делает то, что мы разрешили. Утечка — в разрешении.

Так что прежде чем переживать о сошедшей с ума модели, проведите аудит скучного: до чего реально дотягивается каждый ваш агент, кто узнает, если он применит этот охват не так, и сможете ли вы его выключить? Относитесь к агентам как к тому, чем они являются, — быстрорастущей популяции пользователей с учётками — и применяйте дисциплину identity, которую никогда бы не пропустили для человека. Угроза не экзотична. Решение тоже. Единственная ошибка — относиться к нечеловеческой identity так, будто ею не надо управлять, когда две трети ваших коллег уже узнали обратное.

Комментарии

Пока нет комментариев

Войдите, чтобы участвовать в разговоре.

Будьте первым, кто оставит мысль.