Агент генерального директора компанії переписав політику безпеки підприємства. Не тому, що вона була скомпрометована, а тому, що він прагнув виправити проблему, не мав дозволів і самостійно видалив обмеження. Усі перевірки ідентичності були пройдені успішно. Генеральний директор CrowdStrike Джордж Куртц повідомив про цей інцидент та ще один у компаніях рівня Fortune 50 під час свого виступу на RSAC 2026.
Облікові дані були дійсними. Доступ було надано. Дії призвели до катастрофічних наслідків.
Така послідовність руйнує ключове припущення, на якому ґрунтуються сучасні системи управління ідентифікацією та доступом (IAM) у більшості підприємств: дійсні облікові дані плюс авторизований доступ дорівнюють безпечному результату. Системи ідентифікації створювалися для однієї людини, одного сеансу, одних рук, що працюють за клавіатурою. Агенти руйнують усі три припущення одночасно.
В ексклюзивному інтерв’ю для VentureBeat на RSAC 2026, Метт Колфілд, віце-президент з питань ідентифікації та Duo в Cisco (на фото вище), розповів про архітектуру, яку розробляє його команда для усунення цієї прогалини, та окреслив шестиступеневу модель зрілості ідентифікації для управління агентним ШІ. Терміновість є вимірною: президент Cisco Джіту Пател повідомив VentureBeat на тій же конференції, що 85% підприємств проводять пілотні проєкти з агентами, тоді як лише 5% досягли етапу виробництва — розрив у 80 пунктів, який покликана подолати робота над ідентифікацією.
Стек ідентифікації було розроблено для робочої сили, що має відбитки пальців
«Більшість наявних інструментів IAM, які ми маємо в своєму розпорядженні, повністю розроблені для іншої епохи», — сказав Колфілд VentureBeat. «Вони були створені для людського масштабу, а не для агентів».
Стандартний інстинкт підприємства — це віднести агентів до існуючих категорій ідентифікації: людина; машинна ідентичність; виберіть одне. «Агенти — це третій, новий тип ідентичності», — сказав Колфілд. «Вони не люди. Вони не машини. Вони десь посередині, де вони мають широкий доступ до ресурсів, як люди, але працюють у машинному масштабі та швидкості, як машини, і їм повністю бракує будь-якої форми судження».
Етай Маор, віце-президент з питань аналітики загроз у Cato Networks, оцінив потенційну небезпеку. Він провів сканування Censys і виявив майже 500 000 інтернет-інстансів OpenClaw. Тижнем раніше він знайшов 230 000, що свідчить про подвоєння кількості за сім днів.
Кейн МакГледрі, старший член IEEE, який консультує підприємства з питань ризиків ідентифікації, незалежно дійшов такого ж висновку. Організації клонують облікові записи користувачів для агентних систем, але агенти споживають набагато більше дозволів, ніж люди, через швидкість, масштаб і намір, — повідомив МакГледрі VentureBeat.
Людина-співробітник проходить перевірку біографії, співбесіду та процес адаптації. Агенти пропускають усі три етапи. Припущення щодо адаптації, закладені в сучасні IAM, не застосовуються. Масштаб посилює збій. Колфілд навів прогнози, згідно з якими у світі можуть діяти трильйони агентів. «Ми ледве знаємо, скільки людей працює в середній організації, — сказав він, — не кажучи вже про кількість агентів».
Контроль доступу перевіряє перепустку. Він не стежить за тим, що відбувається далі.
Принцип нульової довіри (zero trust) все ще застосовується до агентного ШІ, стверджує Колфілд. Але лише якщо команди безпеки виведуть його за межі доступу та перейдуть до примусового виконання на рівні дій. «Нам справді потрібно змінити наше мислення на більш жорсткий контроль дій», — сказав він VentureBeat. «Які дії виконує цей агент?»
Людина-співробітник з авторизованим доступом до системи не буде виконувати 500 викликів API за три секунди. Агент — буде. Традиційна нульова довіра перевіряє, чи може ідентичність отримати доступ до програми. Вона не перевіряє, що робить ця ідентичність, потрапивши всередину.
Картер Ріс, віце-президент з питань штучного інтелекту в Reputation, визначив структурну причину. Пласка площина авторизації LLM (великої мовної моделі) не враховує дозволи користувача, — сказав Ріс VentureBeat. Агент, що працює на цій пласкій площині, не потребує підвищення привілеїв. Він вже їх має. Ось чому сам по собі контроль доступу не може стримати дії агентів після автентифікації.
Технічний директор CrowdStrike Елія Зайцев розповів VentureBeat про прогалину в виявленні. У більшості стандартних конфігурацій журналювання активність агента невідрізнена від активності людини. Для розрізнення потрібно аналізувати дерево процесів, відстежуючи, чи був запущений браузер людиною, чи він був згенерований агентом у фоновому режимі. Більшість корпоративних систем журналювання не здатні зробити таке розрізнення.
Шар ідентифікації Колфілда та шар телеметрії Зайцева вирішують дві половини однієї проблеми. Жоден постачальник не закриває обидві прогалини.
«У будь-який момент часу цей агент може стати некерованим і вийти з-під контролю», — сказав Колфілд. «Агенти читають неправильний вебсайт або електронний лист, і їхні наміри можуть змінитися за одну ніч».
Як працює життєвий цикл запиту, коли агенти мають власну ідентичність
П’ять постачальників представили фреймворки агентної ідентифікації на RSAC 2026, зокрема Cisco, CrowdStrike, Palo Alto Networks, Microsoft та Cato Networks. Колфілд розповів, як підхід Cisco до рівня ідентифікації працює на практиці.
Платформа ідентифікації агентів Duo реєструє агентів як повноцінні об’єкти ідентифікації з власними політиками, вимогами до автентифікації та управлінням життєвим циклом. Система примусового виконання направляє весь трафік агентів через шлюз ШІ, який підтримує протоколи MCP, а також традиційні REST або GraphQL. Коли агент робить запит, шлюз автентифікує користувача, перевіряє, чи дозволено агенту це робити, кодує авторизацію в токен OAuth, а потім інспектує конкретну дію та в реальному часі визначає, чи слід її виконувати.
«Жодне рішення для агентного ШІ не буде повноцінним, якщо у вас немає обох частин», — сказав Колфілд VentureBeat. «Частина ідентифікації, частина шлюзу доступу. А потім третя частина — спостережуваність».
Cisco оголосила про намір придбати Astrix Security 4 травня, сигналізуючи про те, що виявлення агентної ідентичності тепер є інвестиційною тезою на рівні ради директорів. Угода також свідчить про те, що навіть постачальники платформ ідентифікації визнають, що проблема виявлення складніша, ніж очікувалося.
Шестиступенева модель зрілості ідентифікації для агентного ШІ
Коли компанія заявляє про 500 агентів у продакшні, Колфілд не приймає цю цифру. «Звідки ви знаєте, що їх 500, а не 5000?»
Більшість організацій не мають єдиного джерела інформації про агентів. Колфілд окреслив шестиступеневу модель взаємодії.
1. Виявлення: ідентифікувати кожного агента, де він працює і хто його розгорнув. 2. Адаптація: зареєструвати агентів у каталозі ідентифікації, прив’язати кожного до відповідальної особи та визначити дозволені дії. 3. Контроль та примусове виконання: розмістити шлюз між агентами та ресурсами, інспектувати кожен запит і відповідь. 4. Моніторинг поведінки: записувати всю активність агентів, виявляти аномалії та створювати аудиторський слід. 5. Ізоляція в реальному часі: обмежувати наслідки дій агентів на кінцевих точках, коли вони виходять з-під контролю. 6. Відповідність нормативним вимогам: зіставити елементи контролю агентів з рамками аудиту до появи аудитора. Ці шість етапів не є ексклюзивними для будь-якого постачальника. Вони описують послідовність, якою йтиме кожне підприємство, незалежно від того, яка платформа реалізує кожен етап.
Дані Censys Маора ускладнюють перший крок ще до його початку. Організації, що починають виявлення, повинні припускати, що їхня агентна експозиція вже помітна для зловмисників. Четвертий крок має власну проблему. Робота Зайцева з аналізу дерев процесів показує, що навіть організації, які реєструють активність агентів, можуть не збирати правильні дані. А третій крок залежить від того, чого, як виявив Ріс, більшості підприємств бракує: шлюзу, який інспектує дії, а не лише доступ, оскільки LLM не дотримується меж дозволів, встановлених рівнем ідентифікації.
Матриця приписів щодо агентної ідентифікації
Що перевіряти на кожному етапі зрілості, як виглядає операційна готовність та червоний прапорець, що сигналізує про збій етапу. Використовуйте це для оцінки будь-якої платформи або їх комбінації.
|
Етап |
Що перевіряти |
Як виглядає операційна готовність |
Червоний прапорець, якщо відсутнє |
|
1. Виявлення |
Повна інвентаризація кожного агента, кожного сервера MCP, до якого він підключається, і кожної відповідальної особи. |
Реєстр, який можна запитувати та який надає кількість агентів, власника та карту підключень протягом 60 секунд на запит аудитора. |
Реєстр відсутній. Кількість агентів є оцінкою. Жодна особа не несе відповідальності за конкретного агента. Зловмисники можуть бачити вашу агентну інфраструктуру з загальнодоступного Інтернету раніше за вас. |
|
2. Адаптація |
Агенти зареєстровані як окремий тип ідентичності з власними політиками, окремо від ідентичностей людей і машин. |
Кожен агент має унікальний об’єкт ідентичності в каталозі, прив’язаний до відповідальної особи, з визначеними дозволеними діями та задокументованим призначенням. |
Агенти використовують клоновані облікові записи людей або спільні облікові записи служб. Розповсюдження дозволів починається з моменту створення. Відсутній аудиторський слід, що пов’язує дії агентів з відповідальною особою. |
|
3. Контроль |
Шлюз між кожним агентом та кожним ресурсом, до якого він отримує доступ, що примусово застосовує політику рівня дій до кожного запиту та кожної відповіді. |
Чотири контрольні точки на запит: автентифікація користувача, авторизація агента, інспектування дії, інспектування відповіді. Прямі з’єднання агент-ресурс відсутні. |
Агенти підключаються безпосередньо до інструментів та API. Шлюз (якщо він існує) перевіряє доступ, але не дії. Пласка площина авторизації LLM не дотримується меж дозволів, встановлених рівнем ідентифікації. |
|
4. Моніторинг |
Журналювання, яке може відрізняти дії, ініційовані агентами, від дій, ініційованих людьми, на рівні дерева процесів. |
SIEM може відповісти: чи була ця сесія браузера розпочата людиною, чи згенерована агентом? Існують базові показники поведінки для кожного агента. Аномалії викликають сповіщення. |
Стандартне журналювання розглядає активність агента та людини як однакову. Походження дерев процесів не фіксується. Дії агентів невидимі в аудиторському сліді. Моніторинг поведінки є неповним ще до його початку. |
|
5. Ізоляція |
Обмеження в реальному часі, яке зменшує радіус ураження, якщо агент виходить з-під контролю, окремо від захисту кінцевих точок людини. |
Некерований агент може бути ізольований у своїй пісочниці, не виводячи з ладу кінцеву точку, сесію користувача або інших агентів на тій самій машині. |
Між агентами та хостом відсутній межа ізоляції. Один скомпрометований агент може отримати доступ до всього, до чого має доступ користувач. Радіус ураження — вся кінцева точка. |
|
6. Відповідність |
Документація, яка зіставляє ідентифікатори агентів, засоби контролю та аудиторські сліди з рамками відповідності, які використовуватиме аудитор. |
Коли аудитор запитує про агентів, команда безпеки надає каталог контролю, аудиторський слід та політику управління, написану спеціально для агентних ідентифікаторів. |
Існують нові фреймворки ризиків ШІ (CSA Agentic Profile), але основні аудиторські каталоги (SOC 2, ISO 27001, PCI DSS) не операціоналізували агентні ідентичності. Каталог контролю не зіставляється з агентами. Аудитор імпровізує, які елементи контролю ідентичності людини застосовуються. Команда безпеки відповідає імпровізацією, а не документацією. |
Джерело: аналіз VentureBeat інтерв’ю з RSAC 2026 (Колфілд, Зайцев, Маор) та незалежна перевірка практиків (МакГледрі, Ріс). Травень 2026 року.
Нормативні рамки ще не наздогнали
«Якби ви проходили аудит сьогодні, як головний співробітник служби безпеки, аудитор, ймовірно, мав би з’ясувати: «Гей, тут є агенти», — сказав Колфілд VentureBeat. «Який з ваших елементів контролю насправді має до них застосовуватися? Я не бачу слова «агенти» ніде у ваших політиках».
Досвід практики МакГледрі підтверджує цю прогалину. Cloud Security Alliance опублікувала NIST AI RMF Agentic Profile у квітні 2026 року, пропонуючи класифікацію за рівнем автономії та метрики поведінки в реальному часі. Але SOC 2, ISO 27001 та PCI DSS ще не операціоналізували агентні ідентичності. Нормативні рамки, з якими працює МакГледрі в підприємствах, були написані для людей. Агентні ідентичності не з’являються в жодному каталозі контролю, з яким він стикався. Ця прогалина є відстаючим індикатором; ризик — ні.
План дій для директора з безпеки
VentureBeat визначив п’ять дій на основі узагальнених висновків Колфілда, Зайцева, Маора, МакГледрі та Ріса.
-
Проведіть перепис агентів і припустіть, що зловмисники вже це зробили.
Кожен агент, кожен сервер MCP, до якого підключаються ці агенти, кожна відповідальна особа. Дані Censys Маора підтверджують, що агентна інфраструктура вже видима з загальнодоступного Інтернету. Національний центр кібербезпеки та технологій (NCCoE) NIST дійшов такого ж висновку у своєму концептуальному документі від лютого 2026 року щодо ідентифікації та авторизації агентного ШІ.
-
Припиніть клонувати облікові записи людей для агентів.
МакГледрі виявив, що підприємства за замовчуванням копіюють профілі користувачів, і розповсюдження дозволів починається з першого дня. Агенти повинні бути окремим типом ідентичності з обмеженнями сфери дії, що відображають те, що вони насправді роблять.
-
Перевірте кожен MCP та шлях доступу до API.
П’ять постачальників представили шлюзи MCP на RSAC 2026. Ця можливість існує. Важливо, чи маршрутизуються агенти через них, чи підключаються безпосередньо до інструментів без інспектування на рівні дій.
-
Виправте журналювання, щоб воно розрізняло агентів і людей.
Метод дерева процесів Зайцева показує, що дії, ініційовані агентами, невидимі в більшості стандартних конфігурацій. Ріс виявив настільки пласкі площини авторизації, що самі лише журнали доступу пропускають фактичну поведінку. Журналювання повинно фіксувати, що робили агенти, а не лише те, до чого їм дозволялося отримати доступ.
-
Підготуйте обґрунтування відповідності нормам до приходу аудитора.
CSA опублікував NIST AI RMF Agentic Profile, що пропонує розширення управління агентами. Більшість аудиторських каталогів ще не адаптувалися. Колфілд повідомив VentureBeat, що аудитори побачать агентів у продакшні та не знайдуть жодних контрольних заходів, пов’язаних з ними. Документація повинна існувати до початку цієї розмови.
Як захиститися (Порада ІТ-Блогу): Впроваджуйте принцип найменших привілеїв для всіх облікових записів, особливо для тих, що використовуються агентними системами. Регулярно переглядайте та оновлюйте дозволи, надані агентам, переконуючись, що вони відповідають лише найнеобхіднішим функціям.
Інформація підготовлена на основі матеріалів: venturebeat.com