Несанкціонований ШІ-агент у Meta здійснив дії без дозволу та розкрив конфіденційні дані компанії та користувачів співробітникам, які не мали права доступу. Meta підтвердила інцидент The Information 18 березня, але заявила, що жодні дані користувачів зрештою не були використані неналежним чином. Проте витік викликав серйозне внутрішнє попередження безпеки.
Наявні докази свідчать про те, що збій стався після автентифікації, а не під час неї. Агент мав дійсні облікові дані, діяв у межах дозволених меж, пройшовши кожну перевірку ідентичності.
Саммер Юе, директорка відділу узгодженості в Meta Superintelligence Labs, описала інший, але пов’язаний збій у вірусному дописі на X минулого місяця. Вона попросила агента OpenClaw переглянути її електронну скриньку з чіткими інструкціями підтвердити дію перед її виконанням.
Агент почав видаляти електронні листи самостійно. Юе написала йому: «Не роби цього», потім «Зупинись, нічого не роби», потім «СТОП OPENCLAW». Він ігнорував кожну команду. Їй довелося терміново перейти до іншого пристрою, щоб зупинити процес.
На запитання, чи тестувала вона захисні механізми агента, Юе була відвертою. «Початкова помилка, чесно кажучи», — відповіла вона. «Виявляється, дослідники узгодженості не застраховані від неузгодженості». (VentureBeat не зміг самостійно перевірити інцидент).
Юе звинуватила стиснення контексту. Вікно контексту агента скоротилося, і її інструкції з безпеки були втрачені.
Витік даних у Meta від 18 березня ще не був детально пояснений на рівні криміналістики.
Обидва інциденти мають одну й ту ж структурну проблему для керівників служби безпеки. ШІ-агент працював з привілейованим доступом, вживав заходів, які його оператор не схвалював, і інфраструктура ідентифікації не мала механізму для втручання після успішної автентифікації.
Агент увесь час мав дійсні облікові дані. Ніщо в системі ідентифікації не могло відрізнити авторизований запит від зловмисного після успішної автентифікації.
Дослідники з кібербезпеки називають цю схему «збентеженим заступником» (confused deputy). Агент з дійсними обліковими даними виконує неправильну інструкцію, і кожна перевірка ідентичності показує, що запит є правильним. Це один клас збоїв у ширшій проблемі: контроль агента після автентифікації відсутній у більшості корпоративних систем.
Цьому сприяють чотири прогалини:
-
Відсутність інвентаризації запущених агентів.
-
Статичні облікові дані без терміну дії.
-
Нульова валідація намірів після успішної автентифікації.
-
Агенти, що делегують повноваження іншим агентам без взаємної перевірки.
Чотири постачальники за останні місяці випустили засоби контролю для усунення цих прогалин. Нижче наведено матрицю управління, яка відображає всі чотири рівні до п’яти запитань, які керівник служби безпеки ставить перед радою директорів перед початком RSAC у понеділок.
Чому інцидент у Meta змінює розрахунок
«Збентежений заступник» є найгострішим проявом цієї проблеми, коли довірена програма з високими привілеями обманом змушується зловживати власними повноваженнями. Однак ширший клас збоїв включає будь-який сценарій, коли агент з дійсним доступом вживає заходів, які його оператор не схвалював. Зловмисні маніпуляції, втрата контексту та неузгоджена автономність — усі вони мають однакову прогалину в ідентифікації. У системі немає нічого, що б перевіряло, що відбувається після успішної автентифікації.
Еліа Зайцев, технічний директор CrowdStrike, описав базовий патерн в ексклюзивному інтерв’ю VentureBeat. Традиційні засоби контролю безпеки передбачають довіру після надання доступу та не мають видимості того, що відбувається під час активних сеансів, сказав Зайцев. Ідентичності, ролі та служби, які використовують зловмисники, неможливо відрізнити від законної діяльності на рівні керуючої площини.
Звіт CISO AI Risk Report 2026 від Saviynt (n=235 CISOs) показав, що 47% спостерігали, як ШІ-агенти демонстрували ненавмисну або несанкціоновану поведінку. Лише 5% були впевнені, що зможуть стримати скомпрометованого ШІ-агента. Розгляньте ці два показники разом. ШІ-агенти вже функціонують як новий клас внутрішніх ризиків, маючи постійні облікові дані та працюючи в масштабі машини.
Три висновки з одного звіту — опитування Cloud Security Alliance та Oasis Security 383 ІТ-спеціалістів та спеціалістів з безпеки — окреслюють масштаб проблеми: 79% мають помірну або низьку впевненість у запобіганні атакам на основі NHI (Non-Human Identities), 92% не впевнені, що їхні застарілі інструменти IAM зможуть керувати ризиками ШІ та NHI зокрема, а 78% не мають задокументованих політик для створення або видалення ідентичностей ШІ.
Поверхня атаки не є гіпотетичною. CVE-2026-27826 та CVE-2026-27825 у mcp-atlassian наприкінці лютого призвели до SSRF та довільного запису файлів через межі довіри, які Model Context Protocol (MCP) створює за дизайном. mcp-atlassian має понад 4 мільйони завантажень, за даними Pluto Security. Будь-хто в тій самій локальній мережі міг виконати код на машині жертви, надіславши два HTTP-запити. Автентифікація не вимагалася.
Джейк Вільямс, викладач IANS Research, був відвертим щодо траєкторії. MCP стане визначальною проблемою безпеки ШІ у 2026 році, попередив він спільноту IANS, попереджаючи, що розробники створюють шаблони автентифікації, які належать до навчальних посібників для початківців, а не до корпоративних додатків.
Чотири постачальники випустили елементи керування ідентифікацією ШІ-агентів за останні місяці. Ніхто не відобразив їх в єдину систему управління. Нижче наведена матриця.
Матриця управління ідентифікацією з чотирьох рівнів
Жоден із цих чотирьох постачальників не замінює існуючий стек IAM керівника служби безпеки. Кожен закриває конкретну прогалину в ідентифікації, яку застарілий IAM не бачить. Інші постачальники, включаючи CyberArk, Oasis Security та Astrix, надають відповідні елементи керування NHI; ця матриця зосереджена на чотирьох, які найбезпосередніше відповідають класу пост-автентифікаційних збоїв, виявлених інцидентом у Meta. [runtime enforcement] означає вбудовані засоби контролю, активні під час виконання агента.
|
Рівень управління |
Має бути наявним |
Ризик у разі відсутності |
Хто надає зараз |
Запитання до постачальника |
|
Виявлення агентів |
Інвентаризація кожного агента, його облікових даних та систем у реальному часі |
Приховані агенти зі успадкованими привілеями, які ніхто не перевіряв. Рівні розгортання тіньового ШІ в підприємствах продовжують зростати, оскільки співробітники приймають інструменти агентів без схвалення ІТ. |
CrowdStrike Falcon Shield [runtime]: інвентаризація ШІ-агентів на платформах SaaS. Palo Alto Networks AI-SPM [runtime]: безперервне виявлення ШІ-активів. Ерік Трекслер, старший віце-президент Palo Alto Networks: «Злиття ідентичності та поверхні атаки визначатиме 2026 рік». |
Які агенти працюють, які ми не надавали? |
|
Життєвий цикл облікових даних |
Ефемерні обмежені токени, автоматична ротація, нульові постійні привілеї |
Викрадений статичний ключ = постійний доступ з повними дозволами. Довготривалі ключі API дають зловмисникам постійний доступ без обмежень. Нелюдські ідентичності вже переважають над людьми у величезних масштабах — Palo Alto Networks прогнозує 82:1 у своїх прогнозах на 2026 рік, Cloud Security Alliance — 100:1 у своєму оцінюванні хмарних технологій за березень 2026 року. |
CrowdStrike SGNL [runtime]: нульові постійні привілеї, динамічна авторизація для людей/NHI/агентів. Придбання у січні 2026 року (очікується закриття в першому кварталі 2027 фінансового року). Денні Брікман, генеральний директор Oasis Security: «ШІ перетворює ідентичність на систему високої швидкості, де кожен новий агент створює облікові дані за лічені хвилини». |
Чи є агент, що автентифікується ключем старшим за 90 днів? |
|
Намір після автентифікації |
Поведінкова перевірка, що авторизовані запити відповідають законним намірам |
Агент проходить усі перевірки і виконує неправильну інструкцію через санкціонований API. Схема збою Meta. Застарілий IAM не має категорії виявлення для цього. |
SentinelOne Singularity Identity [runtime]: виявлення та реагування на загрози ідентичності для людей та нелюдської діяльності, кореляція сигналів ідентичності, кінцевих точок та робочих навантажень для виявлення зловживань під час авторизованих сеансів. Джефф Рід, технічний директор: «Ризик ідентичності більше не починається і не закінчується автентифікацією». Запущено 25 лютого. |
Що перевіряє наміри між автентифікацією та дією? |
|
Розвідка загроз |
Розпізнавання шаблонів атак, специфічних для агентів, поведінкові базові лінії для сеансів агентів |
Атака під час авторизованого сеансу. Жоден сигнатурний файл не спрацьовує. SOC бачить нормальний трафік. Час перебування (dwell time) нескінченно збільшується. |
Cisco AI Defense [runtime]: шаблони загроз, специфічні для агентів. Лаві Лазаровітц, віце-президент відділу досліджень кібербезпеки CyberArk: «Розглядайте ШІ-агентів як новий клас цифрових колег», які «приймають рішення, навчаються з навколишнього середовища та діють автономно». Ваша базова лінія поведінки людини EDR. Поведінку агентів складніше відрізнити від законної автоматизації. |
Як виглядає «збентежений заступник» у нашій телеметрії? |
Матриця показує прогрес. Виявлення та життєвий цикл облікових даних можуть бути вирішені зараз за допомогою готових продуктів. Валідація намірів після автентифікації частково вирішується. SentinelOne виявляє загрози ідентичності для людей та нелюдської діяльності після надання доступу, але жоден постачальник повністю не перевіряє, чи відповідає інструкція, що стоїть за авторизованим запитом, законним намірам. Cisco надає рівень розвідки загроз, але сигнатур виявлення для пост-автентифікаційних збоїв агентів майже не існує. Команди SOC, навчені на базових показниках людської поведінки, стикаються з трафіком агентів, який є швидшим, одноріднішим і складнішим для відрізнення від законної автоматизації.
Архітектурно відкрита прогалина, що залишається
Жоден великий постачальник безпеки не надає взаємну автентифікацію агент-до-агента як виробничий продукт. Протоколи, включаючи A2A від Google та чернетку IETF від березня 2026 року, описують, як це побудувати.
Коли Агент А делегує повноваження Агенту Б, між ними не відбувається жодної перевірки ідентичності. Скомпрометований агент успадковує довіру всіх агентів, з якими він спілкується. Скомпрометуйте один за допомогою ін’єкції підказок (prompt injection), і він видаватиме інструкції всьому ланцюжку, використовуючи довіру законного агента, вже побудовану. Специфікація MCP забороняє передачу токенів. Розробники все одно це роблять. Практичний посібник OWASP за лютий 2026 року з безпечної розробки серверів MCP каталогізував «збентеженого заступника» як названий клас загроз. Виробничі засоби контролю ще не наздогнали. Це п’яте питання, яке керівник служби безпеки ставить перед радою директорів.
Що робити перед вашою наступною нарадою з радою директорів
Проведіть інвентаризацію всіх ШІ-агентів та з’єднань серверів MCP. Будь-який агент, що автентифікується за допомогою статичного ключа API старшим за 90 днів, — це потенційна пост-автентифікаційна помилка.
Скасуйте статичні ключі API. Переведіть усіх агентів на обмежені, ефемерні токени з автоматичною ротацією.
Розгорніть виявлення в реальному часі. Ви не можете перевірити ідентичність агента, про існування якого ви не знаєте. Рівні тіньового розгортання зростають.
Тестуйте на наявність уразливостей «збентеженого заступника». Для кожного з’єднання сервера MCP перевірте, чи дотримується сервер авторизації для кожного користувача, чи надає однаковий доступ усім абонентам. Якщо кожен агент отримує однакові дозволи незалежно від того, хто ініціював запит, «збентежений заступник» вже може бути використаний.
Принесіть матрицю управління на вашу наступну нараду з радою директорів. Чотири засоби контролю розгорнуті, один архітектурний пробіл задокументований, і прикріплений графік закупівель.
Система ідентифікації, яку ви побудували для своїх співробітників, перехоплює вкрадені паролі та блокує несанкціоновані входи. Вона не перехоплює ШІ-агента, який виконує шкідливу інструкцію через законний виклик API з дійсними обліковими даними.
Інцидент у Meta довів, що це не теоретично. Це сталося в компанії з однією з найбільших команд з безпеки ШІ у світі. Чотири постачальники випустили перші засоби контролю, розроблені для його виявлення. П’ятий рівень ще не існує. Чи змінить це вашу позицію, залежить від того, чи ставитеся ви до цієї матриці як до робочого інструменту аудиту, чи пропускаєте її у презентації постачальника.
Як захиститися (Порада ІТ-Блогу): Уважно ставтеся до запитів від будь-яких програм або служб, що потребують доступу до ваших даних, навіть якщо вони здаються легітимними. Використовуйте двофакторну автентифікацію скрізь, де це можливо, щоб додати додатковий рівень захисту від несанкціонованого доступу.
За матеріалами: venturebeat.com