Сооснователь и генеральный директор CertiK Жунхуэй Гу заявил, что массовое развертывание автономных ИИ-агентов в интернете, корпоративных сетях и пользовательских приложениях формирует критический «долг безопасности».
По словам Гу, корпорации преподносят эти инструменты как прорыв в продуктивности, но на деле их внедрение сопряжено с серьезными рисками. Неизолированные и непроверенные ИИ-агенты — «масштабная катастрофа в сфере безопасности, которая может случиться в любой момент».
Пользователи открывают доступ к наиболее важным файлам, локальным учетным данным и финансовым счетам автономным системам, уязвимым для манипуляций, перехвата и обмана, предупредил глава CertiK.
«Сейчас агенты уже не просто отвечают на вопросы в окне чата. Они начинают вызывать внешние инструменты, читать локальные файлы, запускать рабочие процессы и взаимодействовать с финансовой инфраструктурой», — заявил Гу.
По его словам, без изоляции среды выполнения и предварительной проверки инструментов скомпрометированная личность получает широкий внутренний доступ ко всей сети. Фундаментальная проблема нынешнего бума ИИ-агентов — ошибочная модель доверия, считает эксперт.
Основатель и генеральный директор Input Output Global (IOG), компании-разработчика Cardano, Чарльз Хоскинсон ранее заявил, что к 2035 году агенты станут значимее людей в интернете.
Глава Coinbase Брайан Армстронг недавно отметил, что «очень скоро транзакции будут совершать больше ИИ-агентов, чем людей». Основатель Binance Чанпэн Чжао дал схожий прогноз: по его оценке, агенты «будут проводить в миллион раз больше платежей».
Главная внутренняя угроза
Многие популярные ИИ-приложения с открытым кодом работают локально или через стандартные мессенджеры вроде WhatsApp. Их разработчики считают, что это защищает от внешних угроз, пояснил Гу.
Реальность прямо противоположна, подчеркнул он. Как только пользователь разрешает ИИ-агенту читать локальное хранилище, просматривать историю выполнения команд или управлять личной почтой и доступами к корпоративным базам данных, автономный ассистент превращается в главную внутреннюю угрозу.
Недавний анализ CertiK раннего, но быстро растущего сегмента ИИ-агентов обнаружил серьезные проблемы с безопасностью: сотни критических уязвимостей, давно известные незакрытые CVE, а также массовые утечки локальных учетных данных и сессионных токенов — следствие полного отсутствия контроля границ доступа.
Однако еще опаснее другое: такие системы можно перенаправить на уровне рассуждений — без единой строки вредоносного кода, отметил Гу. Достаточно базовой атаки через инъекцию промптов (prompt injection): злоумышленник встраивает скрытые инструкции на естественном языке в обычную веб-страницу, PDF-документ или входящее письмо.
Когда неизолированный агент читает такой файл, он не разграничивает доверенные системные команды и непроверенные внешние данные, пояснил эксперт. В результате агент незаметно переписывает собственные правила: подчиняется вредоносной инструкции и может быть вынужден передать данные или инициировать несанкционированный перевод средств.
Сверхбыстрые эксплойты
По словам Гу, CertiK обнаружила сотни вредоносных плагинов, поддельных установщиков и пакетов-двойников в открытых репозиториях с инструментами для ИИ-агентов.
Такие пакеты управляют поведением автономного ассистента через обычный текст — и именно поэтому традиционные антивирусы их не распознают.
«Мошеннические приложения используют естественный язык для влияния на поведение, что делает их полностью устойчивыми к проверкам обычными антивирусами. И сейчас обмануть машину даже проще, чем человека», — пояснил он.
Гу также указал на изменение характера финансовых атак. Телеметрия CertiK фиксирует всплеск автоматизированных ончейн-схем, которые активны всего 10 минут или несколько часов, после чего бесследно исчезают.
Такие краткосрочные атаки направлены против других автономных торговых ботов и агентных систем. Машина атакует машину: счета опустошаются раньше, чем человек вообще успевает заметить компрометацию.
Выход, по мнению Гу, — отказ от доверительных взаимодействий в пользу архитектуры Zero Trust, при которой каждая команда и зависимость проверяются непрерывно.