Вперше для великої платформи штучного інтелекту безпека була впроваджена одночасно з запуском, а не додана через півтора року. Цього тижня на конференції Nvidia GTC п’ять постачальників рішень безпеки оголосили про забезпечення захисту для платформи агентного ШІ від Nvidia, чотири з яких вже активно впроваджені, а один пройшов валідацію на ранніх етапах інтеграції.
Такий термін відображає швидкість розвитку загроз: 48% фахівців з кібербезпеки вважають агентний ШІ головним вектором атак на 2026 рік. Лише 29% організацій почуваються повністю готовими до безпечного розгортання цих технологій. Кількість ідентичностей машин перевищує кількість людей-співробітників у середньому підприємстві у співвідношенні 82 до 1. І звіт IBM’s 2026 X-Force Threat Intelligence Index задокументував 44% сплеск атак, що використовують публічно доступні додатки, прискорений завдяки скануванню вразливостей за допомогою ШІ.
Генеральний директор Nvidia Дженсен Хуанг наголосив під час виступу на GTC: «Агентні системи в корпоративній мережі можуть отримати доступ до конфіденційної інформації, виконувати код і спілкуватися із зовнішнім світом. Очевидно, що цього не можна дозволяти».
Nvidia розробила уніфіковану модель загроз, призначену для гнучкості та адаптації під унікальні переваги п’яти різних постачальників. Nvidia також називає Google, Microsoft Security та TrendAI співробітниками безпеки Nvidia OpenShell. Ця стаття аналізує п’ять постачальників з анонсами, що мали ембарго на GTC, та перевіреними зобов’язаннями щодо впровадження, які зафіксовані в аналітичній довідковій архітектурі, а не в офіційному канонічному стеку Nvidia.
Жоден окремий постачальник не охоплює всі п’ять рівнів управління. Керівники відділів безпеки можуть оцінити CrowdStrike для рішень щодо агентів та ідентифікації, Palo Alto Networks для хмарного виконання, JFrog для походження ланцюжка поставок, Cisco для перевірки рівня промптів, і WWT для валідації перед виробництвом. Матриця аудиту нижче показує, хто що покриває. Три або більше невідповідних питань до постачальника означають некерованих агентів у виробництві.
П’ятирівнева система управління
Ця система базується на оголошеннях п’яти постачальників та OWASP Agentic Top 10. Ліва колонка — це рівень управління. Права колонка — це питання, на яке повинен відповісти кожен постачальник постачальника керівника безпеки. Якщо вони не можуть відповісти, цей рівень залишається некерованим.
|
Рівень управління |
Що розгортати |
Ризик у разі відсутності |
Питання до постачальника |
Хто покриває |
|
Рішення агентів |
Захисні механізми в реальному часі для кожного промпта, відповіді та дії |
Отруєний ввід ініціює привілейовану дію |
Виявлення дрейфу стану між сесіями? |
CrowdStrike Falcon AIDR, Cisco AI Defense [виконання в реальному часі] |
|
Локальне виконання |
Моніторинг поведінки агентів на пристрої |
Локальний агент працює незахищено |
Базові показники агента, окрім моніторингу процесів? |
CrowdStrike Falcon Endpoint [виконання в реальному часі]; WWT ARMOR [валідація перед виробництвом] |
|
Хмарні операції |
Виконання в реальному часі в хмарних розгортаннях |
Ескалація привілеїв від агента до агента |
Політики довіри між агентами? |
CrowdStrike Falcon Cloud Security [виконання в реальному часі]; Palo Alto Prisma AIRS [валідований дизайн AI Factory] |
|
Ідентифікація |
Обмежені привілеї для кожної ідентичності агента |
Успадковані облікові дані; делегування посилюється |
Успадкування привілеїв при делегуванні? |
CrowdStrike Falcon Identity [виконання в реальному часі]; Palo Alto Networks/CyberArk [платформа управління ідентифікацією] |
|
Ланцюжок поставок |
Сканування моделі + походження перед розгортанням |
Скомпрометована модель потрапляє у виробництво |
Походження від реєстру до виконання? |
JFrog Agent Skills Registry [перед розгортанням]; CrowdStrike Falcon |
Матриця аудиту п’ятирівневого управління. Три або більше невідповідних запитань до постачальника вказують на некерованих агентів у виробництві. [виконання в реальному часі] = вбудовані засоби контролю, активні під час виконання агента. [перед розгортанням] = контроль застосовується до того, як артефакти досягнуть середовища виконання. [валідація перед виробництвом] = тестування на полігоні перед випуском у виробництво. [валідований дизайн AI Factory] = інтеграція з довідковою архітектурою Nvidia, а не з одночасним запуском OpenShell.
Платформа CrowdStrike Falcon інтегрується в чотирьох різних точках контролю в середовищі виконання Nvidia OpenShell: AIDR на рівні промптів-відповідей-дій, Falcon Endpoint на хостах DGX Spark і DGX Station, Falcon Cloud Security в розгортаннях AI-Q Blueprint, і Falcon Identity для меж привілеїв агентів. Palo Alto Networks здійснює контроль на апаратному рівні BlueField DPU в рамках валідованого дизайну Nvidia AI Factory. JFrog керує ланцюжком поставок артефактів від реєстру до підписання. WWT проводить валідацію всього стека перед виробництвом у живому середовищі. Cisco забезпечує незалежний контроль на рівні промптів.
CrowdStrike та Nvidia також створюють так звані “контролі, що усвідомлюють наміри”. Ця фраза має значення. Агент, обмежений певними даними, контролюється за доступом. Агент, цикл планування якого моніториться на предмет відхилень у поведінці, управляється. Це різні режими безпеки, і різниця між ними робить небезпечною помилку в 4% при 5-кратному прискоренні.
Чому змінилася математика радіусу ураження
Деніел Бернард, директор з бізнесу CrowdStrike, в ексклюзивному інтерв’ю VentureBeat розповів, як виглядає радіус ураження скомпрометованого ШІ-агента порівняно зі скомпрометованими людськими обліковими даними.
«Все, що ми могли уявити щодо радіусу ураження раніше, тепер безмежно», — сказав Бернард. «Людина-зловмисник потребує кілька годин сну на добу. У світі агентів немає такого поняття, як робочий день. Це робота завжди».
Це співпадає з архітектурною реальністю. Людина-зловмисник з вкраденими обліковими даними працює в межах біологічних обмежень: швидкість набору тексту, концентрація уваги, розклад. ШІ-агент з успадкованими обліковими даними працює зі швидкістю обчислень через усі API, бази даних і наступні агенти, до яких він може дістатися. Без втоми. Без зміни зміни. Звіт CrowdStrike’s 2026 Global Threat Report вказує на найшвидший зафіксований сплеск кіберзлочинності — 27 секунд, а середній час сплеску — 29 хвилин. Агентний супротивник не має середнього показника. Він працює, доки ви його не зупините.
Коли VentureBeat запитав Бернарда про 96% точність і що відбувається в 4%, його відповідь була операційною, а не маркетинговою: «Наявність правильних “вимикачів” і запобіжних механізмів, щоб у разі прийняття неправильного рішення можна було швидко повернутися до правильного».
На розсуд аналітика, коли агенти помиляються, Бернард окреслив межу управління: «Ми хочемо тримати в циклі не тільки агентів, але й людей, коли мова йде про дії, які вживає SOC, коли відбувається відхилення від норми. Ми — одна команда».
Повний стек постачальників
Кожен із п’яти постачальників займає свою унікальну точку контролю, яку не покривають інші чотири. Глибина архітектури CrowdStrike в матриці відображає чотири оголошені точки інтеграції OpenShell; керівники безпеки повинні оцінювати всі п’ять на основі своїх наявних інструментів та моделі загроз.
Cisco випустила Secure AI Factory з AI Defense, розширюючи контроль Hybrid Mesh Firewall на Nvidia BlueField DPUs та додаючи захисні механізми AI Defense до середовища виконання OpenShell. У багатопостачальницьких розгортаннях Cisco AI Defense та Falcon AIDR працюють як паралельні захисні механізми: AIDR забезпечує контроль всередині пісочниці OpenShell, AI Defense — на мережевому периметрі. Отруєний промпт, що обійшов один, все одно досягне іншого.
Palo Alto Networks запускає Prisma AIRS на Nvidia BlueField DPUs як частину валідованого дизайну Nvidia AI Factory, перекладаючи перевірку на блок обробки даних на рівні мережевого обладнання, нижче гіпервізора та поза ядром ОС хоста. Ця інтеграція найкраще розуміється як пара валідованої референтної архітектури, а не як тісне з’єднання середовища виконання OpenShell. Palo Alto перехоплює трафік між агентами на дроті; CrowdStrike моніторить поведінку процесів агентів у середовищі виконання. Той самий рядок хмарного виконання, але інша модель інтеграції та стадія зрілості.
JFrog оголосила про Agent Skills Registry — систему запису для серверів MCP, моделей, навичок агентів та бінарних активів агентів у архітектурі Nvidia AI-Q. Рання інтеграція з Nvidia була валідована, а повна підтримка OpenShell перебуває в активній розробці. JFrog Artifactory слугуватиме керованим реєстром навичок ШІ, скануючи, перевіряючи та підписуючи кожну навичку перед тим, як агенти зможуть її використовувати. Це єдина точка контролю перед розгортанням у стеку. Як зазначив головний стратегічний директор Галь Мардер: «Так само, як зловмисний програмний пакет може скомпрометувати додаток, непроглянута навичка може направити агента на виконання шкідливих дій».
Worldwide Technology (WWT) запустила Securing AI Lab у своєму Центрі передових технологій, побудованому на базі Nvidia AI factories та платформи Falcon. Агностичний щодо постачальників фреймворк WWT ARMOR є можливістю для валідації перед виробництвом та випробувальним полігоном, а не вбудованим контролем виконання. Він перевіряє, як інтегрований стек поводиться в реальному середовищі AI Factory, перш ніж будь-який агент торкнеться виробничих даних, виявляючи взаємодію контролів, режими відмови та конфлікти політик до того, як вони стануть інцидентами.
Три показники MDR: що вони насправді вимірюють
Щодо сторони MDR, CrowdStrike доопрацював моделі Nvidia Nemotron на основі власних даних про загрози та операційних даних SOC з взаємодій Falcon Complete. Внутрішні тести показують 5-кратне прискорення розслідувань, 3-кратне підвищення точності сортування для класифікації високодостовірних нешкідливих подій та 96% точність у генерації запитів для розслідувань у Falcon LogScale. Kroll, глобальна компанія з управління ризиками та керованих послуг безпеки, яка використовує Falcon Complete як основу своєї MDR, підтвердила ці результати на практиці.
Оскільки Kroll використовує Falcon Complete як свою основну платформу MDR, а не як нейтрального стороннього оцінювача, їхня валідація є операційно значущою, але не незалежною в сенсі аудиту. Загальногалузевих сторонніх бенчмарків для точності агентних SOC ще не існує. Ставтеся до заявлених показників як до орієнтовних, а не аудитованих.
5-кратне прискорення розслідувань порівнює середній час розслідування агентних атак (8,5 хвилин) з найдовшим зафіксованим людським розслідуванням у внутрішньому тестуванні CrowdStrike: це стеля, а не середнє значення. 3-кратне підвищення точності сортування вимірює одну внутрішню модель проти іншої. 96% точність стосується виключно генерації запитів для розслідувань Falcon LogScale за допомогою природної мови, а не загального виявлення загроз чи класифікації сповіщень.
JFrog Agent Skills Registry працює під усіма чотирма рівнями контролю CrowdStrike, скануючи, підписуючи та керуючи кожною моделлю та навичкою перед тим, як будь-який агент зможе її використати — з валідованою ранньою інтеграцією Nvidia та активною розробкою повної підтримки OpenShell.
Шість підприємств вже впроваджують
EY обрала стек CrowdStrike-Nvidia для живлення послуг Agentic SOC для глобальних підприємств. Nebius постачається з інтегрованим Falcon у своєму хмарному ШІ з першого дня. CISO CoreWeave Джим Хіггінс підписав дозвіл на Blueprint. Регіональний CISO Mondelēz Північна Америка Емметт Куен заявив, що ця можливість дозволяє його команді «зосередитися на більш цінних відповідях та прийнятті рішень».
CISO MGM Resorts International Брайан Грін підтримав валідовані тестові середовища WWT, заявивши, що підприємствам потрібні «валідовані середовища, що вбудовують захист з самого початку». Це охоплює все: від вибору постачальника та валідації платформи до інтеграції у виробництво. Сигнал збігається між типами покупців, але розгортання в масштабі ще не є однорідним.
Чого не охоплює стек з п’ятьма постачальниками
Вищезазначена система управління є реальним прогресом. Вона також має три прогалини, з якими врешті-решт зіткнеться кожен керівник безпеки, що розгортає агентний ШІ. Жоден постачальник на GTC не закрив жодної з них. Знати, де вони знаходяться, так само важливо, як і знати, що було випущено.
-
Довіра між агентами. Коли агенти делегують повноваження іншим агентам, облікові дані посилюються. OWASP Top 10 для агентних додатків визначає викрадення викликів інструментів та маніпуляцію оркестратором як ризики найвищого рівня. Незалежні дослідження BlueRock Security, що сканували понад 7000 серверів MCP, виявили, що 36,7% містять вразливості. Дослідження arXiv preprint, що охопило 847 сценаріїв, виявило 23-41% збільшення успішності атак в інтеграціях MCP порівняно з не-MCP. Жоден постачальник на GTC не продемонстрував повної структури політик довіри для делегування між агентами. Це рівень, де співвідношення ідентичностей 82:1 стає кризою управління, а не просто проблемою інвентаризації.
-
Цілісність пам’яті. Агенти з постійною пам’яттю створюють поверхню атаки, якої не мають безстатеві розгортання LLM. Отруйте довгострокову пам’ять агента один раз. Впливайте на його рішення через кілька тижнів. OWASP Agentic Top 10 явно вказує на це. Контролі CrowdStrike, що усвідомлюють наміри, є найближчою архітектурною відповіддю, оголошеною на GTC. Деталі реалізації залишаються перспективними.
-
Походження від реєстру до виконання. JFrog Agent Skills Registry вирішує проблему з боку реєстру. Прогалина, що залишається, — це останній милі: наскрізне походження вимагає доведення того, що модель, яка виконується у виробництві, є точно тим артефактом, який був просканований і підписаний у реєстрі. Ця криптографічна безперервність від реєстру до виконання все ще є інженерною проблемою, а не вирішеною можливістю.
Скільки насправді коштує використання п’яти постачальників
Матриця управління є картою покриття, а не планом реалізації. Використання п’яти постачальників на п’яти рівнях контролю створює реальні операційні накладні витрати, які не були враховані в оголошеннях GTC. Хтось повинен відповідати за оркестрацію політик: вирішувати, чия захисна система переможе, коли AIDR та AI Defense повертають суперечливі вердикти щодо одного й того ж промпту. Хтось повинен нормалізувати телеметрію з Falcon LogScale, Prisma AIRS та JFrog Artifactory в єдиний робочий процес реагування на інциденти. І хтось повинен керувати контролем змін, коли один постачальник випускає оновлення середовища виконання, що змінює поведінку контрольного рівня іншого постачальника.
Реалістичний поетапний план виглядає так: почніть з рівня ланцюжка поставок (JFrog), оскільки він працює до розгортання і не має залежностей від виконання від інших чотирьох. Другим додайте управління ідентифікацією (Falcon Identity), оскільки обмежені облікові дані агента зменшують радіус ураження до того, як ви інструментуєте середовище виконання. Потім інструментуйте рівень прийняття рішень агентом (Falcon AIDR або Cisco AI Defense, залежно від вашого існуючого портфеля постачальників), потім хмарне виконання, потім локальне виконання. Одночасне використання всіх п’яти з першого дня — це проект інтеграції, а не завдання конфігурації. Бюджетуйте відповідно.
Що зробити перед наступним засіданням ради директорів
Ось що кожен CISO повинен бути в змозі сказати після застосування наведеної вище системи: «Ми провели аудит кожного автономного агента за п’ятьма рівнями управління. Ось що впроваджено, і ось п’ять запитань, до яких ми притягуємо постачальників до відповідальності». Якщо ви не можете сказати цього сьогодні, проблема не в тому, що ви відстаєте від графіка. Проблема в тому, що графіка не існувало. П’ять постачальників щойно надали архітектурні леса для одного.
Зробіть чотири речі перед наступним засіданням ради директорів:
-
Запустіть п’ятирівневий аудит. Витягніть кожного автономного агента, якого має ваша організація у виробництві або на стадії розробки. Зіставте кожного з п’ятьма рядками управління вище. Позначте, на які запитання постачальників ви можете відповісти, а на які — ні.
-
Підрахуйте невідповіді. Три або більше означає некерованих агентів у виробництві. Це ваш показник для ради директорів, а не пункт у списку завдань.
-
Протестуйте три відкриті прогалини. Запитайте своїх постачальників прямо: Як ви обробляєте довіру між агентами в ланцюжках делегування MCP? Як ви виявляєте отруєння пам’яті в постійних сховищах агентів? Чи можете ви показати криптографічний зв’язок між скануванням реєстру та завантаженням у середовищі виконання? Жоден із п’яти постачальників на GTC не має повної відповіді. Це не звинувачення. Це те, де буде будуватися безпека агентів наступного року.
-
Створіть модель нагляду перед масштабуванням. Бернард чітко сказав: тримайте агентів та людей у циклі. 96% точність при 5-кратному прискоренні означає, що помилки надходять швидше, ніж будь-який SOC, розроблений для виявлення на людській швидкості, може їх спіймати. “Вимкнення” та запобіжні механізми повинні бути встановлені до масштабування агентів, а не після першого пропущеного злому.
Ліса є необхідною. Вона не є достатньою. Чи змінить вона вашу позицію, залежить від того, чи будете ви ставитися до п’ятирівневої системи як до робочого інструменту, чи пропустите її у презентації постачальника.
Як захиститися (Порада ІТ-Блогу): Обов’язково впроваджуйте двофакторну автентифікацію для всіх облікових записів, особливо для тих, що мають доступ до критично важливих систем. Регулярно оновлюйте програмне забезпечення та операційні системи, щоб усунути відомі вразливості.
За матеріалами: venturebeat.com