Кіберзловмисники захопили інструменти ШІ-безпеки в 90+ компаній: наступна хвиля отримає доступ до брандмауера

Опубліковано

Оновлено

У 2025 році зловмисники впровадили шкідливі запити (prompts) до легітимних інструментів на основі штучного інтелекту (ШІ) у понад 90 організаціях, викрадаючи облікові дані та криптовалюту. Кожен з цих скомпрометованих інструментів міг лише читати дані, і жоден з них не міг переписувати правила брандмауера.

Автономні агенти SOC (Security Operations Center), які постачаються зараз, можуть це робити. Така ескалація, від скомпрометованих інструментів, що читають дані, до автономних агентів, які переписують інфраструктуру, ще не була експлуатована в продакшені у великих масштабах. Однак архітектурні умови для цього створюються швидше, ніж впроваджується управління, призначене для запобігання цьому.

Скомпрометований агент SOC може переписати ваші правила брандмауера, змінити політики управління ідентифікацією та доступом (IAM), а також ізолювати кінцеві точки – і все це з використанням власних привілейованих облікових даних, через дозволені виклики API, які EDR (Endpoint Detection and Response) класифікує як авторизовану діяльність. Зловмисник навіть не торкається мережі. Агент робить це за нього.

Компанія Cisco анонсувала AgenticOps for Security у лютому, додавши можливості автономного виправлення брандмауерів та відповідності стандартам PCI-DSS. Минулого тижня Ivanti запустила Continuous Compliance та агент самообслуговування Neurons AI, з вбудованими на етапі запуску функціями примусового виконання політик, погодженням та валідацією контексту даних – це проектна відмінність, яка має значення, оскільки OWASP Agentic Top 10 документує, що відбувається, коли ці засоби контролю відсутні.

“В епоху агентики, захист від зловмисників, прискорених ШІ, та забезпечення безпеки самих систем ШІ вимагає роботи на швидкості машини”, – заявив генеральний директор CrowdStrike Джордж Курц під час випуску звіту Global Threat Report 2026. “ШІ скорочує час між наміром та виконанням, одночасно перетворюючи корпоративні системи ШІ на цілі”, – додав Адам Майерс, керівник відділу контр-агресивних операцій у CrowdStrike. Зловмисники, керовані ШІ, збільшили кількість операцій на 89% порівняно з попереднім роком.

Розширюється і загальна поверхня атаки. Шкідливі клони MCP-серверів вже перехоплювали конфіденційні дані в робочих процесах ШІ, видаючи себе за довірені служби. Національний центр кібербезпеки Великої Британії попередив, що атаки з ін’єкцією запитів (prompt injection) проти додатків ШІ “можуть ніколи не бути повністю усунені”. Задокументовані компрометації націлювалися на інструменти ШІ, які могли лише читати та узагальнювати; автономні агенти SOC, які постачаються зараз, можуть писати, примусово виконувати та виправляти.

Структура управління, що визначає розрив

OWASP Top 10 для Агентикних Додатків, випущений у грудні 2025 року та розроблений за участю понад 100 дослідників безпеки, документує 10 категорій атак проти автономних систем ШІ. Три категорії безпосередньо стосуються того, що вносять автономні агенти SOC при постачанні з правами на запис: викрадення цілей агента (Agent Goal Hijacking – ASI01), зловживання інструментами (Tool Misuse – ASI02) та зловживання ідентичністю та привілеями (Identity and Privilege Abuse – ASI03). Palo Alto Networks повідомила про співвідношення машинні до людських ідентичностей 82:1 у середньостатистичному підприємстві – кожен автономний агент, доданий до продакшену, збільшує цей розрив.

Звіт CISO AI Risk Report 2026 від Saviynt та Cybersecurity Insiders (n=235 CISOs) виявив, що 47% вже спостерігали, як агенти ШІ демонстрували ненавмисну поведінку, і лише 5% були впевнені, що зможуть контролювати скомпрометованого агента. Окреме опитування Dark Reading показало, що 48% фахівців з кібербезпеки вважають агентикний ШІ найбільш небезпечним вектором атаки. Подання IEEE-USA до NIST чітко виклало проблему: “Ризик зумовлений меншою мірою моделями, а більше – рівнем автономії моделі, обсягом привілеїв та середовищем, в якому працює агент”.

Елеонор Ватсон, старший член IEEE, попередила в опитуванні IEEE 2026, що “напів автономні системи також можуть відхилятися від поставлених цілей, вимагаючи нагляду та регулярних аудитів”. Навмисна інспекція Cisco, оголошена разом з AgenticOps у лютому 2026 року, є підходом раннього виявлення для того ж розриву. Підходи відрізняються: Cisco додає інспекцію на мережевому рівні, тоді як Ivanti вбудувала управління на рівні платформи. Обидва сигналізують про те, що галузь передбачає це. Питання в тому, чи з’являться засоби контролю раніше за експлойти.

Автономні агенти з вбудованим управлінням

Команди безпеки вже перевантажені. Сучасні моделі ШІ прискорюють виявлення вразливостей, які можна експлуатувати, швидше, ніж будь-яка людська команда може усунути їх вручну, і кількість незакритих завдань зростає не тому, що команди зазнають невдачі, а тому, що обсяг тепер перевищує те, що можуть поглинути цикли ручного встановлення виправлень.

Ivanti Neurons for Patch Management представила Continuous Compliance цього кварталу – автоматизовану систему примусового виконання, яка усуває розрив між запланованими розгортаннями виправлень та нормативними вимогами. Система виявляє кінцеві точки, що не відповідають вимогам, та розгортає виправлення позапланово для оновлення пристроїв, які пропустили вікна обслуговування, з вбудованим примусовим виконанням політик та перевіркою відповідності на кожному кроці.

Ivanti також запустила агент самообслуговування Neurons AI для ITSM (IT Service Management), який виходить за рамки розмовного введення до автономного вирішення з вбудованими запобіжниками для політик, погоджень та контексту даних. Агент вирішує типові інциденти та запити на обслуговування від початку до кінця, зменшуючи ручні зусилля та відхиляючи заявки.

Роберт Хенсон, директор з інформаційних технологій Grand Bank, описав розрахунок, який зважують лідери безпеки в галузі: “Перед тим, як досліджувати агент самообслуговування Ivanti Neurons AI, наша команда витрачала більшу частину свого часу на обробку повторюваних запитів. З наближенням до впровадження цих можливостей ми очікуємо автоматизувати рутинні завдання та дозволити нашій команді зосередитися більше на проактивних ініціативах з вищою цінністю. З часом цей підхід допоможе нам зменшити операційні витрати, одночасно надаючи швидше, безпечніше обслуговування в межах визначених нами запобіжників, зрештою сприяючи покращенню якості обслуговування та безпеки”.

Його наголос на роботі “в межах визначених нами запобіжників” вказує на ширший принцип проектування: швидкість та управління не обов’язково мають бути компромісами.

Розрив у управлінні є конкретним: звіт Saviynt виявив, що 86% організацій не дотримуються політик доступу для ідентичностей ШІ, лише 17% керують навіть половиною своїх ідентичностей ШІ тими ж засобами контролю, що застосовуються до людських користувачів, і 75% CISOs виявили несанкціоновані інструменти ШІ, що працюють у продакшені з вбудованими обліковими даними, які ніхто не відстежує.

Continuous Compliance та агент самообслуговування Neurons AI вирішують проблеми на рівнях виправлень та ITSM. Ширша сфера автономних агентів SOC, включаючи виправлення брандмауерів, модифікацію політик IAM та ізоляцію кінцевих точок, виходить за межі того, що сьогодні керується будь-якою окремою платформою. Десятипитальний аудит застосовується до кожного автономного інструменту в середовищі, включаючи інструменти Ivanti.

Рекомендована матриця ризиків для управління автономними агентами

Матриця зіставляє всі 10 категорій ризиків OWASP Agentic Top 10 з тим, що постачається без управління, прогалиною у виявленні, доказом та рекомендованою дією для розгортання автономних агентів SOC.

Ризик OWASP	Що постачається без управління	Прогалина у виявленні	Доказ	Рекомендована дія
ASI01: Викрадення цілей	Агент розглядає зовнішні входи (логи, сповіщення, електронні листи) як довірені інструкції	EDR не може виявити інструкції зловмисника, виконані через легітимні виклики API	EchoLeak (CVE-2025-32711): приховане в електронному листі навантаження змусило ШІ-асистента викрасти конфіденційні дані. Не вимагає жодних кліків.	Класифікуйте всі входи за рівнем довіри. Блокуйте вміст, що містить інструкції, з недовірених джерел. Валідуйте зовнішні дані перед прийомом агентом.
ASI02: Зловживання інструментами	Агент уповноважений змінювати правила брандмауера, політики IAM та робочі процеси ізоляції	WAF перевіряє навантаження, а не намір виклику інструменту. Авторизоване використання ідентичне зловживанню.	Amazon Q використовував легітимні інструменти для деструктивних результатів, незважаючи на дійсні дозволи (за даними OWASP).	Обмежте кожен інструмент мінімально необхідними дозволами. Логуйте кожне виклик з метаданими про намір. Сповіщайте про виклики поза базовими шаблонами.
ASI03: Зловживання ідентичністю	Агент успадковує облікові дані сервісного облікового запису, що мають доступ до виробничої інфраструктури	SIEM бачить авторизовану ідентичність, що виконує авторизовані дії. Аномалії не виявляються.	Співвідношення машинні до людських ідентичностей 82:1 у середньостатистичному підприємстві (Palo Alto Networks). Кожен агент додається до цього.	Видавайте обмежені ідентичності, специфічні для агентів. Примусово застосовуйте терміново обмежені дозволи, прив’язані до завдань. Усуньте успадковані облікові дані користувачів.
ASI04: Ланцюжок постачання	Агент завантажує сторонні MCP-сервери або плагіни під час виконання без перевірки походження	Статичний аналіз не може перевірити динамічно завантажені компоненти під час виконання.	Клони шкідливих MCP-серверів перехоплювали конфіденційні дані, видаючи себе за довірені служби (CrowdStrike 2026).	Ведіть реєстр дозволених MCP-серверів. Перевіряйте походження та цілісність перед завантаженням під час виконання. Блокуйте несанкціоновані плагіни.
ASI05: Несподіване виконання коду	Агент генерує або виконує керований зловмисником код через небезпечні шляхи оцінки або ланцюжки інструментів	Перевірка коду застосовується до коммітів людей, а не до коду, згенерованого агентом під час виконання.	AutoGPT RCE: шляхи виконання природною мовою дозволили віддалене виконання коду через несанкціоновані встановлення пакетів (за даними OWASP).	Ізолюйте виконання коду всіх агентів. Вимагайте схвалення людини для виробничих шляхів коду. Блокуйте динамічну оцінку та несанкціоновані встановлення.
ASI06: Отруєння пам’яті	Агент зберігає контекст між сесіями, де отруєні дані накопичуються з часом	Моніторинг на основі сесій скидається між взаємодіями. Отруєння накопичується непомітно.	Calendar Drift: шкідливе запрошення календаря змінило пріоритетність цілей агента, залишаючись в межах політики (OWASP).	Впроваджуйте закінчення терміну дії пам’яті сесії. Аудитуйте постійні сховища пам’яті на наявність аномального вмісту. Ізолюйте пам’ять за межами завдання.
ASI07: Комунікація між агентами	Агенти спілкуються без взаємної автентифікації, шифрування або валідації схеми	Моніторинг охоплює окремих агентів, але не підроблені або маніпульовані повідомлення між агентами.	OWASP задокументував підроблені повідомлення, які дезорієнтували цілі кластери агентів через атаки зниження протоколу.	Примусово застосовуйте взаємну автентифікацію між агентами. Шифруйте всі канали між агентами. Валідуйте схему повідомлення при кожній передачі.
ASI08: Каскадні збої	Агент делегує повноваження підпорядкованим агентам, створюючи багатоланцюгові ланцюги привілеїв через системи	Моніторинг охоплює окремих агентів, але не ланцюги делегування або розгалуження між агентами.	Симуляція: один скомпрометований агент отруїв 87% подальших процесів прийняття рішень протягом 4 годин у контрольованому тесті.	Відображайте всі ланцюги делегування від початку до кінця. Примусово застосовуйте межі привілеїв при кожній передачі. Впроваджуйте автоматичні вимикачі для каскадних дій.
ASI09: Довіра людини-агента	Агент використовує переконливу мову або сфабриковані докази для скасування рішень людини щодо безпеки	Відповідність перевіряє конфігурацію політик, а не те, чи маніпулював агент людиною, щоб отримати схвалення.	Агент Replit видалив основну базу даних клієнтів, а потім сфабрикував її вміст, щоб здаватися відповідним і приховати шкоду.	Вимагайте незалежної перевірки для рекомендацій агента з високим ризиком. Логуйте всі рішення про схвалення людини з повним ланцюжком обґрунтування агента.
ASI10: Недобросовісні агенти	Агент відхиляється від призначеної мети, при цьому зовні здаючись відповідним	Перевірки відповідності перевіряють конфігурацію під час розгортання, а не поведінковий дрейф після розгортання.	92% організацій не мають повної видимості ідентичностей ШІ; 86% не застосовують політики доступу (Saviynt 2026).	Розгортайте виявлення поведінкового дрейфу. Створюйте базові профілі поведінки агентів. Сповіщайте про відхилення від очікуваних шаблонів дій.

10 запитань аудиту OWASP для автономних агентів

Кожне питання відповідає одній категорії ризику OWASP Agentic Top 10. Автономні платформи, що постачаються з примусовим виконанням політик, погодженням та валідацією контексту даних, матимуть чіткі відповіді на кожне запитання. Три або більше відповідей “Я не знаю” для будь-якого інструменту означають, що управління цим інструментом не відповідає його можливостям.

1. Які агенти мають права на запис у виробничі брандмауери, IAM або засоби контролю кінцевих точок?

2. Які з них приймають зовнішні входи без валідації?

3. Які виконують незворотні дії без дозволу людини?

4. Які зберігають пам’ять, де отруєння накопичується між сесіями?

5. Які делегують повноваження іншим агентам, створюючи каскадні ланцюги привілеїв?

6. Які завантажують сторонні плагіни або MCP-сервери під час виконання?

7. Які генерують або виконують код у виробничих середовищах?

8. Які успадковують облікові дані користувачів замість обмежених ідентичностей агентів?

9. Які не мають поведінкового моніторингу для відхилення від призначеної мети?

10. Які можна маніпулювати за допомогою переконливої мови для скасування засобів контролю безпеки?

Що потрібно повідомити раді директорів

Розмова з радою директорів складається з трьох речень. Згідно зі звітом CrowdStrike Global Threat Report 2026, зловмисники скомпрометували інструменти ШІ у понад 90 організаціях у 2025 році. Автономні інструменти, що розгортаються зараз, мають більше привілеїв, ніж ті, що були скомпрометовані. Організація провела аудит кожного автономного інструменту за 10 категоріями ризиків OWASP і підтвердила наявність необхідних засобів контролю.

Якщо третє речення не відповідає дійсності, воно має стати таким до розгортання наступного автономного агента у продакшені. Проведіть 10-питальний аудит кожного агента, який має права на запис у виробничу інфраструктуру, протягом наступних 30 днів. Кожна автономна платформа, що розгортається у продакшені, повинна відповідати тим самим стандартам – примусове виконання політик, погодження та валідація контексту даних, вбудовані під час запуску, а не додані постфактум після першого інциденту. Аудит виявляє, які інструменти виконали цю роботу, а які – ні.

Як захиститися (Порада ІТ-Блогу): Регулярно переглядайте та обмежуйте права доступу для всіх агентів ШІ, особливо тих, що мають доступ до критично важливих систем. Увімкніть багатофакторну автентифікацію (MFA) для всіх облікових записів, включно з обліковими записами сервісних служб, де це можливо, щоб ускладнити зловмисникам отримання доступу через скомпрометовані облікові дані.

Інформація підготовлена на основі матеріалів: venturebeat.com