
Якщо одним ключем API користуються п’ять ШІ-агентів, то компрометація одного з них надає зловмиснику доступ до всіх п’яти. Атакуючий негайно отримує привілеї всіх робочих процесів, до яких мав доступ цей ключ. Криміналістичний слід обривається на рівні облікових даних, оскільки п’ять агентів, що працюють під одним обліковим записом, не залишають записів про те, хто саме що робив.
Згідно з дослідженням VentureBeat Pulse Research від червня 2026 року, яке охопило 107 підприємств, у 69% компаній використовуються агенти зі спільними обліковими даними.
Саме ця цифра пояснює сплеск закупівель у сфері корпоративної безпеки цього року. Palo Alto Networks, CrowdStrike та Cisco сукупно інвестували понад 22 мільярди доларів за останній рік, націлюючись саме на той рівень, який більшість підприємств з цього опитування ще не завершили створювати.
Palo Alto Networks завершила придбання CyberArk 11 лютого за загальною сумою 21,1 мільярда доларів США на момент закриття угоди. Цю угоду, оголошену в липні минулого року приблизно за 25 мільярдів доларів, є найбільшою в історії компанії.
CrowdStrike закрила угоду про придбання платформи авторизації в реальному часі SGNL за 740 мільйонів доларів США і до 15 червня випустила перший продукт з цієї угоди — Continuous Identity for AI Agents. CrowdStrike інтегрувала SGNL менш ніж за рік, представивши продукт, який у реальному часі перевіряє кожну дію агента на основі того, хто ним володіє, хто його викликає, та рівня ризику пристрою.
Cisco оголосила про намір придбати спеціаліста з нелюдських ідентичностей Astrix Security 4 травня за повідомленою сумою 400 мільйонів доларів США.
Для директора з безпеки це дослідження виглядає як питання на рівні ради директорів, а не як просто тенденція. Воно також виявляє дані, яких не показує жоден конкурент, і які вказують, які компанії є найбільш уразливими.
Наведені нижче дані є першим поглядом на квартальний звіт VentureBeat Q2 Agentic Security, складений на основі 107 кваліфікованих респондентів з організацій, що налічують понад 100 співробітників. Повний звіт буде представлений учасникам VB Transform, заходу в Менло-Парку наступного тижня (14-15 липня), присвяченого автономним корпоративним агентам.
45% респондентів є кінцевими особами, що приймають рішення щодо закупівель ШІ. Вибірка переважно представляє середній ринок, тому цифри слід розглядати як погляд організацій, що саме зараз впроваджують агентську безпеку, а не найбільших підприємств.
Понад половина респондентів (54%) вже стикалися з інцидентом або майже інцидентом безпеки агента. 18% підтвердили інцидент, а 36% відстежили майже-промах до того, як стався злом. Команди безпеки зупиняють більшість цих подій на останньому контрольному пункті ланцюжка, але решта даних свідчить про те, наскільки тонкою є ця межа.
Ваші агенти спільно використовують облікові дані
Лише 32% підприємств надають кожному ШІ-агенту його власну, ізольовану та керовану ідентичність. Майже половина (48%) повідомляє, що деякі агенти мають ізольовані ідентичності, тоді як багато хто все ще спільно використовує облікові дані. Ще 32% стверджують, що агенти переважно працюють на спільних ключах API або позичених облікових даних людей та служб. Питання опитування дозволяло вибрати більше одного варіанту, і 24 зі 107 респондентів обрали кілька варіантів – саме тому три категорії сумуються до 112%. Без урахування дублікатів на респондента, 74 організації, або 69%, позначили спільне використання облікових даних хоча б в одній відповіді.
Одна цифра пояснює, чому придбання спрямовані на цей рівень. Спільний обліковий запис перетворює одного скомпрометованого агента на багатьох, а дослідження CyberArk показує, що на кожну людину в організаціях у світі припадає 82 машинні ідентичності, причому агенти є найшвидше зростаючою категорією цього співвідношення. Cisco зробила той самий діагноз, коли купила Astrix, засновникам якої компанія побудувала навколо ключів API, облікових записів служб та токенів OAuth. У оголошенні Cisco ці облікові дані названі тими, які ШІ-агенти тепер “використовують (і зловживають)” для масштабування роботи.
Адам Майерс, старший віце-президент з протидії супротивникам у CrowdStrike, безпосередньо описав цей механізм в інтерв’ю VentureBeat. Деякі ШІ-системи мають власні ідентичності, сказав він, а в інших випадках “люди передають свою ідентичність ШІ для дій від їхнього імені, і це також ще більше затуманює воду і робить її дуже складною”. Ця невизначеність є ключовою, тому що коли ідентичність спільна, атрибуція разом з нею зникає.
Експозиція масштабується з розміром, а стримування — ні
49% підприємств застосовують обмежені дозволи під час виконання, а 47% моніторять та реєструють активність агентів, що може допомогти зменшити інциденти безпеки. Лише 30% ізолюють (сандбоксають) своїх найризикованіших агентів — єдиний контроль, що обмежує радіус ураження, коли перші два способи не спрацьовують. Ізоляція — це те, що запобігає перетворенню одного скомпрометованого агента на подію, що охоплює все розгортання. Підприємства фінансували виявлення та протидію, але рівень стримування майже відсутній.
Найбільш гостре відкриття в опитуванні, якого не відображає жоден звіт постачальника, виявляється при розбитті результатів за розміром компанії. Рівень інцидентів становить 49% для компаній зі 101-1000 співробітниками, але зростає до 63% для компаній з понад 1000 співробітників. Ізоляція шляхом сандбоксінгу знижується з 35% до 20% у великих компаніях.

На діаграмі вище показано те саме відкриття з більш детальною інформацією: розрив 49%/63% вище — це бінарний поділ за 1000 співробітників, тоді як тут стовпчики розбивають частоту інцидентів та показник ізоляції на чотири групи за розміром. Червона лінія вимірює інциденти та майже-промахи, а темно-синя — єдиний контроль, що стримує шкоду після того, як усі інші засоби не спрацювали. В організаціях зі 101-250 співробітниками ці два показники розрізняються на 7 пунктів, а при понад 5000 співробітниках розрив зростає до 60 пунктів. Верхня група об’єднує дві найбільші групи розмірів у опитуванні та містить лише 15 респондентів, тому до цієї цифри слід ставитися як до орієнтовної. Великі підприємства запускають більше агентів у більшій кількості систем, що призводить до збільшення кількості інцидентів, тоді як сандбоксінг, інженерний проєкт, який мав би їх стримувати, залишається недофінансованим. Підприємства з найбільшою кількістю агентів мають найменшу ізоляцію навколо них.
Угоди спрямовані саме на такі облікові записи. Palo Alto Networks, Cisco та CrowdStrike насамперед продають великим підприємствам, де частота інцидентів найвища, а стримування — найслабше.
Під захистом того, хто надав модель
Постачальники моделей є шаром безпеки. Вбудовані захисні механізми OpenAI лідирують з 51%. Google Cloud досягає 36%, Microsoft Azure Purview та Copilot Studio DLP — 35%, а керовані елементи керування агентами Anthropic — 29%. 82% респондентів називають контроль, наданий постачальником або гіперскейлером, як свій єдиний основний рівень безпеки агентів.

Спеціалізовані рішення займають лише кілька відсотків: Palo Alto Networks Prisma AIRS – 7%, CrowdStrike – 6%, а Okta for AI Agents – 4%. Zenity та спеціалізовані платформи для нелюдських ідентичностей — по 3%. Microsoft Entra Agent ID є найбільш поширеним контролем, специфічним для ідентичності, в наборі даних — 13%, єдиний від гіперскейлера, але все ще поступається топ-чотири. Лише 5% підприємств взагалі не використовують спеціалізовані інструменти для агентів, а решта мають інструменти, що постачалися в комплекті.
Комплексні рішення лідирують, оскільки вони постачаються безкоштовно та ввімкнені за замовчуванням. Більшість фільтрують запити та вихідні дані, але не надають агенту власної ідентичності або не ізолюють його. Гіперскейлери продають продукти для управління ідентичністю, а Entra Agent ID присутній у наборі даних з показником 13%, але його впровадження залишається низьким. Два засоби контролю, які найбільше сприяють зменшенню інцидентів — ізольована ідентичність та ізоляція — не входять до стандартного пакету.
Фільтри запитів та вихідних даних оцінюють, чи виглядає виклик зловмисним. Це проблема намірів, яку неможливо вирішити на мовному рівні. Технічний директор CrowdStrike Елія Зайцев провів межу в інтерв’ю на RSAC 2026. “Спостереження за реальними кінетичними діями — це структурована, вирішувана проблема”, — сказав Зайцев. “Намір — ні”. Сенсор CrowdStrike Falcon відстежує дерево процесів на кінцевій точці та реєструє, що робили агенти, а не те, що вони, здавалося б, мали намір зробити. Ізольована ідентичність та межа ізоляції дають цьому сенсору що відстежувати, тоді як спільний обліковий запис на вбудованому захисті — ні.
Хмарна безпека пройшла через той самий цикл десятиліття тому, і Palo Alto Networks, CrowdStrike та Wiz створили багатомільярдні бізнеси на прогалинах, залишених вбудованими хмарними засобами. Агентська безпека йде тим самим шляхом швидше. Неправильно налаштоване сховище даних залишалося відкритим, поки людина не помітила. Неправильно налаштований агент використовує свої надмірні дозволи при кожному запуску, і ніхто не стежить за цим. Меррітт Бер, директор з безпеки Enkrypt AI та колишній заступник CISO в AWS, сказав VentureBeat, що стандартний рівень безпеки тонший, ніж припускають підприємства. “Підприємства вважають, що вони ‘схвалили’ постачальників ШІ, але насправді вони схвалили інтерфейс, а не базову систему”, — сказав Бер. “Реальні залежності знаходяться на один-два рівні глибше, і саме вони виявляються несправними під навантаженням”.
Задоволені, але непереконані, та вже шукають рішення
Ось протиріччя, гідне слайду для виступу. Підприємства оцінюють свої інструменти агентської безпеки на 4,2 з 5, цінність за гроші — на 4,1, а легкість впровадження — на 3,9. Такі показники викликали б заздрість у більшості постачальників SaaS.

Лише 35% вважають, що їхні захисні засоби на основі ШІ випереджають атакуючі засоби на основі ШІ, тоді як 32% називають цей баланс приблизно рівним. 21% стверджують, що нападники випереджають, а ще 21% кажуть, що ще занадто рано робити висновки, що свідчить про те, наскільки підприємства довіряють своїм інструментам більше, ніж їхнім результатам.
Бюджети це підтверджують. 46% виділяють від 6 до 10% бюджету безпеки на агентську безпеку, а цілих третина витрачає 5% або менше. Половина вибірки вже пережила інцидент або майже-промах, але фінансування не відповідає ризикам.
59% планують впровадити, додати або замінити інструменти агентської безпеки протягом 12 місяців, а 29% планують зробити це цього кварталу. OpenAI лідирує за прогнозованим інтересом (34%), за ним йдуть Google (30%), Anthropic (29%) та Azure (25%). Спеціалізовані постачальники приваблюють більше інтересу в майбутньому, ніж їхня нинішня присутність у кілька відсотків. Задоволені клієнти не змінюють такі рішення так швидко, якщо тільки вони не знають, що поточний стек, який вони використовують, є тимчасовим.
Три кроки для директорів з безпеки
1. Проведіть інвентаризацію облікових даних кожного агента цього кварталу. Визначте, які агенти спільно використовують облікові дані з іншими агентами, і які працюють під позиченими обліковими даними людей або служб. Мета — не один обліковий запис на агента. Агентам, які взаємодіють з кількома системами, потрібні множинні ізольовані ідентичності. Мета — нуль спільних облікових даних між агентами та нуль позичених людських облікових даних. Тринадцять відсотків опитаних підприємств вже використовують Microsoft Entra Agent ID. Okta for AI Agents та спеціалізовані постачальники нелюдських ідентичностей пропонують еквіваленти. Спільні та позичені облікові дані — це перше, що слід усунути.
2. Спочатку ізолюйте (сандбоксуйте) найризикованіших агентів. Ізоляція є найменш впровадженим контролем (30%) і єдиним, що стримує радіус ураження після того, як запобігання зазнало невдачі. Ранжуйте агентів за чутливістю даних, до яких вони мають доступ, та ізолюйте топ-список. Для компаній з понад 1000 співробітників, де ізоляція становить 20%, це крок з найвищою віддачею в наборі даних. Сандбоксінг не вимагає заміни агента або платформи. Він вимагає політичного рішення та рівня ізоляції.
3. Узгодьте бюджет із частотою інцидентів. Третина підприємств фінансує агентську безпеку на рівні 5% або менше від бюджету безпеки, хоча більше половини вже пережили інцидент або майже-промах. Дев’ять відсотків виділяють понад 25% сьогодні. Повний звіт містить розбивку ризиків та стримування за розміром компанії, показуючи, які групи несуть найбільші ризики та мають найменший захист.
Питання ради директорів простіше: якщо один із наших ШІ-агентів буде скомпрометований сьогодні, до яких систем він мав доступ і чиї облікові дані він використовував? Для 69% підприємств, що використовують агентів зі спільними обліковими даними, відповідь — розгублена. Слід обривається на ключі.
Повний звіт Q2 Agentic Security з повною матрицею постачальників, галузевими зрізами та повним набором даних, що лежить в основі цих діаграм, дебютує 14-15 липня на VB Transform в Hotel Nia, Менло-Парк. Відкритим залишається питання, чи закриють підприємства прогалину в агентській безпеці на власних умовах, чи підтверджений злом зробить це за них.
Як захиститися (Порада ІТ-Блогу): Уникайте спільного використання ключів API для різних ШІ-агентів. Надавайте кожному агенту унікальні, обмежені в правах облікові дані, щоб у разі компрометації одного з них, збитки були мінімізовані.
За матеріалами: venturebeat.com
