Атаки на ИИ-системы уже были замечены в 90+ организациях — следующий этап даст агентам право менять инфраструктуру

Если раньше взломанные ИИ-инструменты могли только читать данные, то новые автономные агенты уже способны переписывать правила фаерволов и IAM-политики

В 2025 году злоумышленники внедряли вредоносные промпты в легитимные ИИ-инструменты более чем в 90 организациях, похищая учётные данные и криптовалюту. Однако все эти случаи имели важное ограничение: скомпрометированные системы могли только читать данные, но не изменять критическую инфраструктуру.

Ситуация меняется с появлением автономных SOC-агентов, которые уже сейчас начинают внедряться в корпоративные системы. В отличие от прежних инструментов, они получают право не только анализировать, но и переписывать конфигурации — включая правила межсетевых экранов, IAM-политики и изоляцию конечных устройств.

Формально такие действия выполняются через разрешённые API-вызовы и легитимные учётные записи. В результате атака может проходить незаметно: злоумышленник не взаимодействует напрямую с сетью, а заставляет ИИ-агента «внедриться» и выполнять изменения самостоятельно.

Крупные игроки уже движутся в сторону этой архитектуры. Cisco Systems представила AgenticOps for Security с автономной ремедиацией фаерволов и контролем соответствия стандартам. Ivanti запустила систему Continuous Compliance и AI-агента Neurons, включающую механизмы политики, проверки и автоматического исполнения.

Компания в сфере кибербезопасности, которая специализируется на защите корпоративных систем от взломов, вредоносного ПО и целевых атак, CrowdStrike, опубликовала отчёт Global Threat Report 2026, в котором говорится о том, что количество ИИ-атак выросло на 89% за год. Эксперты отмечают, что искусственный интеллект одновременно сокращает время между намерением атаки и её реализацией и превращает сами корпоративные ИИ-системы в цели.

Дополнительный риск создаёт рост «агентной инфраструктуры» — от поддельных MCP-серверов до атак через инъекции. При этом Национальный центр кибербезопасности Великобритании ранее предупреждал, что такие атаки могут оказаться принципиально неустранимыми полностью.

Особую обеспокоенность вызывает смещение возможностей: если ранее взломанные системы могли только читать данные, то теперь автономные агенты способны выполнять действия с высокими привилегиями. В список ключевых классов рисков безопасности для агентных ИИ-систем, OWASP Agentic Top 10, выделяются ключевые классы угроз — перехват целей агента, злоупотребление инструментами и компрометация идентичности.

Полный список содержит 10 классов угроз: захват цели агента (agent goal hijacking), когда его можно «перепрошить» через входные данные; неправильное использование инструментов (tool misuse), когда агент делает не то, что ожидается; подмена или злоупотребление идентичностью и правами; атаки через плагины и сторонние сервисы; выполнение опасного кода; отравление памяти или контекста; незащищённая коммуникация между агентами; каскадные ошибки при цепочках агентов;
манипуляция человеком через доверие к агенту; «дрейф» поведения агента со временем.

Проблема усиливается масштабом: по оценке одного из крупнейших мировых поставщиков решений для защиты корпоративных сетей, Palo Alto Networks, в среднем корпоративная среда уже содержит соотношение 82:1 между машинными и человеческими идентичностями, и каждый новый агент увеличивает этот дисбаланс.

Исследования также показывают, что 47% организаций уже наблюдали нежелательное поведение ИИ-агентов, и только 5% уверены в способности изолировать скомпрометированного агента.

На этом фоне отрасль пытается встроить защитные механизмы прямо в архитектуру. Однако ключевой вопрос остаётся неизменным: способны ли системы контроля за автономными ИИ-агентами развиваться быстрее, чем сами агенты получают новые привилегии.

Переход от «читающих» ИИ-инструментов к системам, которые могут изменять инфраструктуру, фактически меняет модель угроз. Теперь компрометация ИИ — это не утечка данных, а потенциальная модификация всей корпоративной сети.