Ентоні Гріеко, старший віце-президент та директор з безпеки та довіри Cisco, без вагань відповів на запитання VentureBeat, чи досягають інциденти зі зловмисними агентами клієнтської бази Cisco.
“Абсолютно. Ми бачимо їх регулярно”, — заявив Гріеко в ексклюзивному інтерв’ю для VentureBeat на RSAC 2026. “Я чув про деякі випадки, які не можу повторити, але вони справді стосуються ситуацій, коли агенти роблять те, що, на їхню думку, є правильним”.
Інциденти, описані Гріеко, розвиваються за послідовним сценарієм: перевірки автентифікації проходять успішно, ідентифікаційні дані перевірено. Агент є саме тим, за кого себе видає. Після цього він отримує доступ до даних, до яких йому не було надано дозволу, або виконує дію, яку ніхто не авторизував на такому рівні деталізації. Проблема не в ідентифікації, а в авторизації.
“Бізнес ставить такі завдання, як, наприклад, мати 500 агентів на одного співробітника”, — зазначив Гріеко. “Керівники з питань безпеки зосереджені на тому, як забезпечити безпеку цих рішень”.
Згідно зі звітом Cisco “State of AI Security 2026”, 83% організацій планували впровадити можливості для агентів, але лише 29% вважали себе готовими їх захистити. П’ять постачальників представили фреймворки ідентифікації агентів на RSAC 2026. Жоден з них не закрив усіх прогалин. Це стосується і Cisco.
VentureBeat виявив чотири прогалини в авторизації, спираючись на ексклюзивне інтерв’ю Гріеко та п’ять незалежних джерел. Матриця рекомендацій у кінці цієї статті містить поради щодо їх усунення.
Прогалина в авторизації, яку ще ніхто не закрив
Гріеко пройшов шлях від інженерних та дослідницьких організацій Cisco до ролі, що поєднує обидва напрямки операцій безпеки компанії: розробку продуктів, які продає Cisco, та управління програмою, що захищає саму Cisco.
Прогалина в авторизації, яку він описав, є конкретною та операційною.
“Цей агент є фінансовим агентом, але навіть будучи фінансовим агентом, він не повинен мати доступу до всіх фінансових даних”, — пояснив Гріеко. “Він повинен мати доступ до звітів про витрати, і не просто до звітів про витрати, а до окремих звітів про витрати певного періоду. Отримання такого детального контролю є однією з ключових передумов для того, щоб ми могли сказати “так” багатьом розробкам, пов’язаним з агентами”.
Незалежні експерти підтвердили цю тенденцію під час RSAC 2026. Кейн МакГладрі, старший член IEEE, повідомив VentureBeat, що організації за замовчуванням клонують профілі користувачів для агентів, і розповсюдження дозволів починається з першого дня. Картер Різ, віце-президент з питань ШІ в Reputation, виявив структурну причину. Пласка площина авторизації великих мовних моделей (LLM) не враховує дозволи користувачів, зазначив Різ. Агент на такій площині не потребує підвищення привілеїв — він вже їх має.
“Найбільша проблема, яку ми бачимо, — це розуміння того, що відбувається”, — сказав Гріеко. “Можливість мати ідентичність та контроль доступу, що відповідають цим вимогам, є надзвичайно важливою”.
Елія Зайцев, технічний директор CrowdStrike, докладно зупинився на аспекті видимості в ексклюзивному інтерв’ю VentureBeat на RSAC 2026. У більшості стандартних конфігурацій журналювання діяльність агента неможливо відрізнити від діяльності людини. Для розрізнення цих дій необхідно відстежувати дерево процесів. Більшість корпоративних систем журналювання не можуть здійснити такого розрізнення.
П’ять постачальників представили фреймворки ідентифікації агентів на RSAC, включаючи Duo IAM та MCP gateway controls від Cisco. Жоден з них не закрив усіх прогалин, виявлених VentureBeat. Чотири прогалини, описані нижче, залишаються відкритими.
Стандартизовані тіла розробляють однакову діагностику
Проблеми з авторизацією та ідентифікацією, про які говорив Гріеко, — це не лише спостереження постачальників. Три незалежні стандартизовані тіла дійшли паралельних висновків на початку 2026 року. Національний інститут стандартів і технологій США (NIST) опублікував у лютому 2026 року концептуальний документ “Прискорення впровадження ідентичності та авторизації програмних і ШІ-агентів”, в якому відкрито закликає до демонстраційних проєктів щодо застосування існуючих стандартів ідентифікації до автономних агентів.
У списку OWASP Top 10 для агентних застосунків, опублікованому в грудні 2025 року, неправильне використання інструментів через надмірні дозволи та небезпечне делегування були визнані ризиками найвищого рівня. А Cloud Security Alliance (CSA) на RSAC 2026 запустила CSAI Foundation з місією “Забезпечення безпеки контрольної площини агентів”, включаючи спеціальний фреймворк Agentic AI IAM, побудований на основі децентралізованих ідентифікаторів та принципів нульової довіри (zero trust). Коли NIST, OWASP і CSA незалежно один від одного вказують на один і той самий клас прогалин на одному ринковому циклі, це свідчить про структурну, а не специфічну для постачальника проблему.
Безпека MCP потребує виявлення перед контролем
VentureBeat запитав Гріеко про парадокс MCP (Model Context Protocol), який підтримали всі постачальники на RSAC 2026, визнаючи при цьому його прогалини в безпеці. Гріеко не стверджував, що протокол безпечний. Він наголосив, що блокувати його вже нереалістично.
“Сьогоднішній день не дозволяє відмовитися від цього як керівнику з безпеки”, — сказав Гріеко. “Тому питання полягає в тому, як ми це можемо керувати”.
У власному середовищі Cisco команда Гріеко додала можливості виявлення, проксіювання та інспектування MCP до AI Defense та Cisco Secure Access. Такий підхід розглядає MCP-сервери так само, як підприємства ставляться до тіньових ІТ (shadow IT): спочатку знайди, потім керуй.
Етай Маор, віце-президент з питань аналізу загроз у Cato Networks, підтвердив цей підхід з боку зловмисників. На RSAC 2026 Маор продемонстрував атаку “Living Off the AI”, яка поєднувала MCP Atlassian та Jira Service Management. Зловмисники не відокремлюють довірені інструменти, сервіси та моделі. Вони поєднують усі три. “Нам потрібен HR-підхід до агентів”, — сказав Маор. “Онбординг, моніторинг, офбординг”.
Майже половина критичної інфраструктури застаріла та не має виправлень
Збої в авторизації агентів важче виявити та стримати, коли базова інфраструктура роками не отримує оновлень безпеки — і ця прогалина посилює всі інші вразливості, згадані в цій статті. Cisco замовила британській консультаційній фірмі WPI Strategy дослідження ризиків технологій, що вийшли з експлуатації, у США, Великій Британії, Франції, Німеччині та Японії. Звіт виявив, що майже половина критично важливої мережевої інфраструктури в цих географіях є застарілою або вже неактуальною. Постачальники більше не випускають для неї оновлень.
“Майже 50% критичної інфраструктури в цих географіях були застарілими, вийшли з експлуатації або близькі до цього”, — повідомив Гріеко. “Це означає, що постачальники більше не надають для них виправлень безпеки”.
Ініціатива Cisco Resilient Infrastructure вимикає невикористовувані функції за замовчуванням та виводить з експлуатації застарілі протоколи протягом трьох циклів виведення з обігу. Гріеко заперечив припущення, що безпека за замовчуванням є статичним досягненням. “Багато хто не замислюється над тим, що це не статичні моменти часу”, — сказав Гріеко. “Це не так, що ви робите це один раз, і все”.
Матриця прогалин у безпеці агентних систем підприємств
Чотири прогалини, наведені нижче, — це ті, з якими команди безпеки можуть працювати з понеділка. Кожен рядок відображає, що виходить з ладу, чому це відбувається, та що з цим робити, з перехресною перевіркою п’яти незалежних джерел.
Джерела: Аналіз VentureBeat ексклюзивного інтерв’ю Гріеко на RSAC 2026, перехресно перевірений з незалежними звітами МакГладрі (IEEE), Різа (Reputation), Маора (Cato Networks) та Зайцева (CrowdStrike). Травень 2026 р.
|
Прогалина безпеки |
| Що виходить з ладу та ціна |
Чому ваш поточний стек не виявляє цього |
Стан контролю від постачальників |
Перший крок для вашої команди |
|
Застаріла інфраструктура |
Майже половина критичних мережевих активів вийшли з експлуатації або наближаються до цього (WPI Strategy); агенти, що працюють на системах без виправлень, успадковують вразливості, які жоден постачальник не виправить |
Щорічний графік оновлень не встигає за швидкістю загроз; системи, що вийшли з експлуатації, не отримують жодних оновлень безпеки та жодної підтримки від постачальника |
Resilient Infrastructure вимикає небезпечні налаштування за замовчуванням, попереджає про ризиковані конфігурації, виводить з експлуатації застарілі протоколи за трицикловим графіком |
Команда інфраструктури: проведіть аудит усіх мережевих активів щодо дат виходу з експлуатації постачальників цього кварталу. Перекласифікуйте заміну обладнання, що вийшло з експлуатації, з ІТ-оновлення на інвестицію в безпеку в наступному бюджетному циклі |
|
Виявлення MCP |
MCP-сервери поширюються середовищами без видимості безпеки; розробники створюють з’єднання інструментів агентів, які обходять наявне управління |
Тіньові розгортання MCP обходять існуючі інструменти виявлення; не існує стандартного механізму інвентаризації; Маор продемонстрував, як зловмисники поєднують MCP + Jira в атаці “Living Off the AI” |
AI Defense додає виявлення, проксіювання та інспектування MCP; розглядає MCP-сервери як тіньові ІТ |
Відділ безпеки: проведіть інвентаризацію MCP-серверів у всіх середовищах перед розгортанням будь-яких елементів управління агентами. Якщо ви не можете перерахувати свою MCP-поверхню, ви не можете її захистити |
|
Надмірні дозволи для агентів |
Агенти успадковують широкий доступ рівня людини на пласкій площині авторизації; агент не потребує підвищення привілеїв, оскільки він вже їх має (Ries) |
Команди IAM за замовчуванням клонують профілі людей для агентів (McGladrey); не існує обмежених за часом дозволів для нелюдських ідентичностей |
Duo IAM реєструє агентів як окремі об’єкти ідентичності з детальними, обмеженими в часі дозволами на кожен виклик інструменту |
Команда IAM: негайно припиніть клонування облікових записів людей для агентів. Обмежте дозвіл кожного агента до конкретного набору даних, конкретної дії та конкретного часового вікна. Тест Гріеко: чи може цей фінансовий агент отримати доступ лише до того індивідуального звіту про витрати, який йому потрібен у цей момент? |
|
Видимість поведінки агентів |
Дії агентів неможливо відрізнити від дій людей у журналах безпеки (Zaitsev); агент з надмірними дозволами, який виглядає як людина в логах, є невидимим для SOC |
Стандартне журналювання не фіксує походження дерева процесів; жоден постачальник не випустив повну кросплатформну поведінкову основу для активності агентів |
Інтеграція телеметрії SOC зі Splunk для виявлення та реагування на дії агентів |
Керівник SOC: оновіть журналювання, щоб фіксувати походження дерева процесів, щоб дії, ініційовані агентом, можна було відрізнити від дій, ініційованих людиною. Якщо ваш SIEM не може відповісти на запитання “це була людина чи агент?” для кожної сесії, прогалина залишається відкритою |
“Чесно кажучи, ми повинні рухатися швидко і розвиватися швидко, щоб не відставати від того, куди підуть зловмисники”, — сказав Гріеко.
Прогалини, відображені вище, не є теоретичними. Гріеко підтвердив, що інциденти вже відбуваються. Засоби контролю існують по частинах у багатьох постачальників. Жоден постачальник ще не зібрав повний стек.
Як захиститися (Порада ІТ-Блогу):
1. Ретельний контроль доступу: Надавайте агентам лише ті дозволи, які абсолютно необхідні для виконання їхніх конкретних завдань, і встановлюйте чіткі часові обмеження для цих дозволів. Уникайте надання загального доступу, як у випадку з обліковими записами людей.
2. Посилення моніторингу: Переконайтеся, що ваші системи журналювання можуть відрізняти дії агентів від дій користувачів. Це може вимагати налаштування розширеного відстеження процесів, щоб забезпечити видимість та можливість виявлення підозрілої активності.
Дізнатися більше на: venturebeat.com