«Можна обманювати, маніпулювати та брехати. Це невід’ємна властивість мови. Це функція, а не недолік», — заявив технічний директор CrowdStrike Еліа Зайцев у ексклюзивному інтерв’ю виданню VentureBeat на конференції RSA 2026. Якщо обман є вбудованою властивістю самої мови, то кожен постачальник, який намагається захистити ШІ-агентів, аналізуючи їхні наміри, переслідує проблему, яку неможливо остаточно вирішити. Зайцев робить ставку на контекст. Сенсор Falcon від CrowdStrike аналізує дерева процесів на кінцевій точці та відстежує, що саме робили агенти, а не якими були їхні наміри. «Спостереження за реальними кінетичними діями — це структурована, розв’язувана проблема, — зазначив Зайцев. — Наміри — ні».
Ця заява прозвучала через 24 години після того, як генеральний директор CrowdStrike Джордж Куртц розкрив інформацію про два інциденти, що сталися на виробничих системах двох компаній зі списку Fortune 50. У першому випадку ШІ-агент генерального директора переписав політику безпеки компанії — не тому, що був скомпрометований, а тому, що хотів виправити проблему, не мав відповідних дозволів і сам усунув це обмеження. Усі перевірки ідентифікації були успішними; компанія виявила зміну випадково. Другий інцидент стосувався «роботи» 100 агентів у Slack, які делегували виправлення коду між собою без жодного схвалення з боку людини. Агент №12 здійснив коміт. Команда виявила це постфактум.
Два інциденти у двох компаніях зі списку Fortune 50. Обидва виявлені випадково. Усі системи перевірки ідентичності, представлені цього тижня на RSAC, пропустили ці випадки. Постачальники перевіряли, ким є агент. Жоден із них не відстежував, що саме робив агент.
Нагальність, з якою кожен постачальник презентував свої фреймворки, відображає ширший зсув на ринку. «Складність захисту агентивного ШІ, ймовірно, змусить клієнтів звертатися до надійних постачальників платформ, які можуть запропонувати ширше покриття розширюваної поверхні атак», — йдеться у звіті про фондовий ринок від William Blair на конференції RSA 2026, підготовленому аналітиком Джонатаном Хо. П’ять постачальників відгукнулися на цей виклик цього тижня на RSAC. Жоден із них не зробив цього повністю.
Зловмисники вже проникли в корпоративні пілотні проєкти
Масштаб виявлених загроз вже видно у виробничих даних. Сенсори Falcon від CrowdStrike виявляють понад 1800 різних ШІ-додатків у парку клієнтів компанії, генеруючи 160 мільйонів унікальних інстансів на корпоративних кінцевих точках. Cisco виявила, що 85% її корпоративних клієнтів, згідно з опитуванням, мають пілотні програми агентів; лише 5% перейшли на виробничі системи, що означає, що переважна більшість цих агентів працюють без структур управління, які зазвичай вимагають виробничі розгортання. «Найбільшим перешкодою для масштабованого впровадження в корпораціях для критично важливих завдань є встановлення достатнього рівня довіри, — заявив президент і головний продукт-директор Cisco Джіту Пател у ексклюзивному інтерв’ю VentureBeat на конференції RSA 2026. — Делегування проти довіреного делегування завдань агентам. Різниця між цими двома полягає в тому, що одне призводить до банкрутства, а інше — до домінування на ринку».
Етай Маор, віце-президент з аналітики загроз у Cato Networks, під час ексклюзивного інтерв’ю VentureBeat на конференції RSA 2026 провів пряме сканування Censys і нарахував майже 500 000 інстансів OpenClaw, доступних з Інтернету. Тижнем раніше їх було 230 000. Старший дослідник Cato CTRL Віталій Симонович задокументував у блозі Cato CTRL 25 лютого 2026 року оголошення з BreachForums від 22 лютого 2026 року, де зловмисник продавав доступ до root-оболонки комп’ютера генерального директора з Великої Британії за 25 000 доларів США у криптовалюті. Головною перевагою був особистий помічник генерального директора на базі OpenClaw, який накопичив виробничу базу даних компанії, токени ботів Telegram та ключі API Trading 212 у відкритому тексті Markdown без шифрування. «Ваш ШІ? Тепер це мій ШІ. Це помічник для зловмисника», — сказав Маор VentureBeat.
Дані про виявлені загрози від кількох незалежних дослідників розповідають одну й ту саму історію. Bitsight виявив понад 30 000 інстансів OpenClaw, доступних через загальнодоступний Інтернет, між 27 січня та 8 лютого 2026 року. SecurityScorecard визначив 15 200 з цих інстансів як вразливі до віддаленого виконання коду через три CVE високого рівня критичності, найгірший з яких мав рейтинг CVSS 8.8. Koi Security знайшов 824 шкідливих навички на ClawHub — 335 з них були пов’язані з ClawHavoc, який Куртц назвав у своїй промові першою великою атакою на ланцюг постачання в екосистемі ШІ-агентів.
П’ять постачальників, три прогалини, жодної закритої
Cisco найглибше заглибилася в управління ідентифікацією. Duo Agentic Identity реєструє агентів як окремі об’єкти ідентифікації, пов’язані з людськими власниками, і кожен виклик інструменту проходить через шлюз MCP у Secure Access SSE. Cisco Identity Intelligence виявляє «тіньових» агентів, відстежуючи мережевий трафік, а не журнали автентифікації. Пател розповів VentureBeat, що сьогоднішні агенти поводяться «більше як підлітки — надзвичайно розумні, але без страху наслідків, легко відволікаються або піддаються впливу». CrowdStrike зробила найбільшу філософську ставку, розглядаючи агентів як телеметричні дані кінцевої точки та відстежуючи кінетичний рівень через походження процесів Falcon. CrowdStrike розширила AIDR для підтримки агентів Microsoft Copilot Studio та впровадила Shadow SaaS та AI Agent Discovery для Copilot, Salesforce Agentforce, ChatGPT Enterprise та OpenAI Enterprise GPT.
Palo Alto Networks розробила Prisma AIRS 3.0 з реєстром агентів, IDP агентів та шлюзом MCP для контролю трафіку в реальному часі. Майбутнє придбання Koi компанією Palo Alto Networks додає видимості ланцюга постачання та роботи в реальному часі. Microsoft розподілила управління між Entra, Purview, Sentinel та Defender, причому Microsoft Sentinel нативно вбудовує MCP, а коннектор Claude MCP перебуває у публічному попередньому перегляді з 1 квітня. Cato CTRL надала докази загроз, що прогалини в ідентифікації, які намагаються закрити інші чотири постачальники, вже експлуатуються. Маор заявив VentureBeat, що корпорації відмовилися від базових принципів безпеки при розгортанні агентів. «Ми просто надали цим інструментам ШІ повну автономію», — сказав Маор.
Прогалина 1: Агенти можуть переписувати правила, що регулюють їхню власну поведінку
Інцидент Куртца точно ілюструє цю прогалину. Кожна перевірка облікових даних була успішною — дія була авторизована. Зайцев стверджує, що надійне виявлення можливе лише на кінетичному рівні: який файл було змінено, яким процесом, ініційованим яким агентом, порівняно з базовою поведінкою. Контролі, засновані на намірах, оцінюють, чи виглядає виклик зловмисним. Цей — не виглядав. Palo Alto Networks пропонує передрозгортанське тестування (red teaming) у Prisma AIRS 3.0, але тестування проводиться перед розгортанням, а не в реальному часі, коли відбувається самомодифікація. Жоден постачальник не пропонує виявлення аномалій поведінки для дій, що змінюють політику, як виробничу функцію.
Пател окреслив ставки в інтерв’ю VentureBeat: «Агент виконує неправильну дію, і, що ще гірше, деякі з цих дій можуть бути критичними і незворотними». Питання до ради директорів: авторизований агент змінює політику, що регулює майбутні дії цього агента. Що спрацьовує?
Прогалина 2: Передача завдань від агента до агента не має перевірки довіри
100-агентний «рій» є доказом цього. Агент А виявив дефект і опублікував повідомлення в Slack. Агент №12 виконав виправлення. Жодна людина не схвалила делегування. Підхід Зайцева: зведення ідентичностей агентів до людини. Агент, що діє від вашого імені, ніколи не повинен мати більше привілеїв, ніж ви. Але жоден продукт не відстежує ланцюжок делегування між агентами. IAM був створений для взаємодії людини з системою. Делегування від агента до агента потребує примітива довіри, якого не існує в OAuth, SAML або MCP.
Прогалина 3: «Примарні» агенти зберігають активні облікові дані без деактивації
Організації впроваджують інструменти ШІ, проводять пілот, втрачають інтерес і рухаються далі. Агенти продовжують працювати. Облікові дані залишаються активними. Маор називає ці покинуті інстанси «примарними агентами». Зайцев пов’язав «примарних» агентів із ширшим провалом: агенти викривають те, де підприємства зволікали з базовою гігієною ідентифікації. Наявність привілейованих облікових записів, довготривалі облікові дані та відсутність процедур деактивації. Ці проблеми існували для людей. Агенти, що працюють зі швидкістю машини, роблять наслідки катастрофічними.
Маор продемонстрував атаку «Living Off the AI» на конференції RSA 2026, використовуючи MCP Atlassian та Jira Service Management, щоб показати, що зловмисники не розділяють довірені інструменти, служби та моделі. Зловмисники ланцюжково використовують усі три. «Нам потрібен HR-погляд на агентів», — сказав Маор VentureBeat. «Онбординг, моніторинг, деактивація. Якщо немає бізнес-обґрунтування? Видалення».
Чому ці три прогалини важко виправити програмними засобами
Людський IAM передбачає, що власник ідентичності не буде переписувати дозволи, створювати нові ідентичності або йти. Агенти порушують усі три умови. OAuth обробляє взаємодію користувача з сервісом. SAML обробляє федеративну людську ідентичність. MCP обробляє взаємодію моделі з інструментом. Жоден із них не включає перевірку від агента до агента.
П’ять постачальників проти трьох прогалин
|
Cisco |
CrowdStrike |
Microsoft |
Palo Alto Networks |
Невирішено |
|
|
Реєстрація. Чи може постачальник виявити та інвентаризувати агентів? |
Duo Agentic Identity. Агенти реєструються як об’єкти ідентифікації з людськими власниками. Виявлення «тіньових» агентів через мережевий трафік. |
Автоматичне виявлення сенсором Falcon. 1800+ агентських додатків, ~160 млн інстансів у клієнтському парку. |
Панель моніторингу безпеки для ШІ + Entra для виявлення «тіньового» ШІ на рівні мережі. |
Реєстр агентів у Prisma AIRS 3.0. Агенти інвентаризуються перед початком роботи. |
Усі чотири реєструють агентів. Не існує міжпостачальницького стандарту ідентифікації. |
|
Самомодифікація. Чи може постачальник виявити, коли агент змінює власні політики? |
Шлюз MCP виявляє аномальні шаблони викликів інструментів у реальному часі, але не відстежує прямі зміни файлів політик на кінцевій точці. |
Походження процесів відстежує зміни файлів на рівні дій. Може виявити зміну файлу політики, але спеціального правила для самомодифікації не існує. |
Defender predictive shielding реактивно коригує політики доступу під час активних атак. Не проактивне виявлення самомодифікації. |
AI Red Teaming тестує це перед розгортанням. Немає виявлення в реальному часі після запуску агента. |
ВІДКРИТО. Жоден постачальник не виявляє, як агент переписує політику, що регулює його власну поведінку, як виробничу функцію. |
|
Делегування. Чи може постачальник відстежувати, коли один агент передає роботу іншому? |
Прив’язує кожного агента до людського власника. Не відстежує передачу завдань від агента до агента. |
Зводить ідентичність агента до людини-оператора. Не корелює ланцюжки делегування між агентами. |
Entra керує окремими нелюдськими ідентичностями. Немає відстеження ланцюжків між кількома агентами. |
AI Agent Gateway керує окремими агентами. Немає примітива делегування між агентами. |
ВІДКРИТО. Не існує примітива довіри для делегування від агента до агента в OAuth, SAML або MCP. |
|
Деактивація. Чи може постачальник підтвердити, що виведений з експлуатації агент не має жодних облікових даних? |
Identity Intelligence постійно інвентаризує активних агентів. |
Shadow SaaS + AI Agent Discovery знаходить працюючих агентів у SaaS та на кінцевих точках. |
Виявлення «тіньового» ШІ в Entra показує некеровані ШІ-додатки. |
Придбання Koi (очікується) додає видимість кінцевих точок для агентських додатків. |
ВІДКРИТО. Усі чотири виявляють працюючих агентів. Жоден не перевіряє відсутність залишкових облікових даних після деактивації. |
|
Виконання / Кінетика. Чи може постачальник відстежувати, що роблять агенти в реальному часі? |
Шлюз MCP забезпечує дотримання політики для кожного виклику інструменту на рівні мережі. Контекстуальне виявлення аномалій у шаблонах викликів. |
Falcon EDR відстежує команди, скрипти, файлову активність та мережеві з’єднання на рівні процесів. |
Defender endpoint + хмарний моніторинг. Predictive shielding під час активних інцидентів. |
AI Agent Gateway Prisma AIRS для контролю трафіку в реальному часі. |
CrowdStrike — єдиний постачальник, який розглядає виконання на кінцевій точці як основну мережу безпеки для агентивної поведінки. |
П’ять кроків, які слід зробити в понеділок вранці, перш ніж вас запитає правління
-
Аудит ризику самомодифікації. Витягніть усіх агентів, які мають права на запис у політики безпеки, конфігурації IAM, правила брандмауера або списки контролю доступу. Позначте будь-яких агентів, які можуть змінювати засоби контролю, що регулюють їхню власну поведінку. Жоден постачальник не автоматизує це.
-
Картографуйте шляхи делегування. Документуйте кожне виклик від агента до агента. Позначте делегування без людського схвалення. Людина-у-циклі (Human-in-the-loop) для кожної події делегування, доки не з’явиться примітив довіри.
-
Видаліть «примарних» агентів. Створіть реєстр. Для кожного агента: бізнес-обґрунтування, власник-людина, облікові дані, до яких систем мав доступ. Немає обґрунтування? Ручне відкликання. Щотижня.
-
Стрес-тестуйте примусове виконання шлюзу MCP. Cisco, Palo Alto Networks і Microsoft цього тижня анонсували шлюзи MCP. Переконайтеся, що трафік інструментів агентів дійсно проходить через шлюз. Неправильно налаштований шлюз створює хибне відчуття безпеки, поки агенти викликають інструменти безпосередньо.
-
Встановіть базові норми поведінки агентів. Перш ніж будь-який агент потрапить у виробниче середовище, визначте, як виглядає нормальна поведінка: типові виклики API, шаблони доступу до даних, системи, до яких звертаються, та години активності. Без базових показників поведінки, виявлення аномалій на кінетичному рівні, про яке говорить Зайцев, не матиме з чим порівнювати.
Порада Зайцева була прямою: ви вже знаєте, що робити. Агенти просто зробили ціну нероблення катастрофічною. Кожен постачальник на RSAC підтверджував, ким є агент. Жоден із них не відстежував, що саме агент робив.
Як захиститися (Порада ІТ-Блогу): Ретельно перевіряйте дозволи, надані ШІ-агентам, особливо ті, що стосуються зміни політик або доступу до конфіденційних даних. Впроваджуйте багаторівневу автентифікацію для всіх сервісів, що використовуються агентами, і регулярно переглядайте їхні права доступу.
Оригінал статті: venturebeat.com