ИИ не кусается. Кусаются его права доступа
Я почти двадцать лет смотрю на сетевой трафик так, как гастроэнтеролог смотрит на рентген: с профессиональным спокойствием и легким любопытством к тому, что там внутри происходит. Я занимаюсь сетевой безопасностью, а точнее тем самым классом решений, который принято называть NGFW, межсетевой экран нового поколения. Моя профессия буквально «стоять между тем, что рвется в сеть, и тем, что в ней ценно». И вот последние полгода я наблюдаю занятную картину: самая интересная угроза в моей практике больше не «хакер в капюшоне», а вежливый ИИ-агент, который сделал ровно то, что ему написали. Просто написали не вы.
Новая угроза: не хакер, а свой же ИИ-агент
Почему я вообще сел за эту статью? Потому что после третьего похожего звонка в два часа ночи стало ясно, люди боятся не того. Все обсуждают «восстание машин», а тем временем их собственный браузерный агент читает письмо от «поставщика» и тихо копирует токен сессии. Это не фантастика, это отчеты последних месяцев. Агентные браузеры обманывали через спрятанные в веб-страницах инструкции, а атакующие «топят» ИИ-ассистентов SQL-инъекциями будущего. Теми самыми, что работают не через код, а через смысл текста.
7 правил безопасного использования ИИ-ассистентов
Вот мой личный топ без морализаторства. Просто список того, что происходит в момент использования.
- Агент, читающий чужую почту, читает и чужие команды. Если у ассистента есть одновременный доступ к данным, инструментам действия и выходу в интернет, вы собрали «токсичное трио». Разделяйте эти три вещи, и большая часть атак просто не соберется.
- Открытая вкладка банка рядом с открытым агентом — не многозадачность, а факт передачи ключей. Индиректная инъекция промпта в 2026 способна извлекать SSH-ключи через обычный агентный браузер. Сессия — это дверь. Не держите ее открытой рядом с услужливым ботом.
- Все, что вы написали в чат, не исчезает. Судебные запросы к перепискам с ИИ — уже реальность. Считайте чат публичным черновиком, а не исповедальней.
- ИИ иногда врет с уверенностью отличника. Медицинский совет, юридическая норма, строчка кода — все проверяйте у источника, прежде чем действовать, а не после.
- Автономный агент действует быстрее, чем вы успеваете сказать «стоп». Любое необратимое действие (платеж, удаление, отправка) требует вашего подтверждения, а не доверия по умолчанию.
- Голосовой дипфейк звонит и просит «срочно перевести». Проверяйте личность вторым каналом связи. Один реальный кейс на 25 миллионов долларов должен был научить всех.
- Сторонние расширения и «навыки» для агентов — не бесплатный сыр. Уязвимость в чужом сервере интеграций однажды дала ИИ-ассистенту доступ на запись в чужие репозитории. Ставьте только проверенное и с минимальными правами.
Почему NGFW здесь не панацея
Как специалист по сетевой безопасности, каждый день имеющий дело с инспекцией трафика, контролем приложений и предотвращением вторжений (IPS), скажу честно: ни один межсетевой экран нового поколения, даже сертифицированный ФСТЭК, интегрированный с SIEM и заточенный под требования к защите критической информационной инфраструктуры, не спасет от агента, которому вы сами выдали пароль от всего. Задача защиты периметра сети и задача контроля над собственным ИИ-помощником — это, как ни странно, два разных фронта одной войны. TLS-инспекция и глубокий анализ трафика ловят угрозы снаружи. А эти истории — про то, что происходит уже внутри, с вашего собственного разрешения.
Это не значит, что межсетевой экран стал бесполезен. Напротив, именно NGFW остается тем самым надежным "охранником на входе", который не пускает внешние угрозы. Но когда угроза рождается внутри и с вашего разрешения, защита должна быть другого рода. И здесь речь уже про политики доступа, сегментацию и контроль над тем, кому и что вы доверяете.
Дверь должна быть закрыта
Так вот, возвращаясь к тому звонку в 2:47. Мы потом разбирали инцидент вместе, и я спросил: «А кто, по-твоему, виноват? ИИ?» Он подумал и ответил: «Нет. Дверь была открыта, а я думал, что за ней стоит охранник».
ИИ не бунтует и не злодействует, он просто выполняет инструкции. Вопрос лишь в том, чьи это инструкции на самом деле. Межсетевой экран проверяет каждый пакет, прежде чем пустить его внутрь. ИИ-агент, увы, проверяет не источник, а только содержание команды, и верит ей на слово. Вопрос не в том, кто умнее, а в том, кому вы доверили больше прав. Потому что доверие без проверки — это не безопасность, а риск.
Авторы: экспертный совет Смарт-Софт

Протестируйте бесплатно