Генеральный директор CertiK предупреждает о рисках безопасности ИИ-агентов по мере того, как их развёртывание опережает изоляцию

Предупреждение о рисках безопасности ИИ-агентов становится всё более острым — и неотложным. Ронхуэй Гу, сооснователь и генеральный директор CertiK, говорит, что темп внедрения автономных ИИ-агентов в приложения, сети и финансовые системы опережает базовые меры безопасности, необходимые для их контроля.

Это важно, поскольку подобные системы больше не ограничиваются ответами на запросы в чате. По словам Гу, им всё чаще разрешают читать локальные файлы, вызывать внешние инструменты, запускать рабочие процессы и взаимодействовать с конфиденциальными аккаунтами. На практике это означает, что скомпрометированный агент — это уже не просто сбоящий помощник. Он может стать внутренней угрозой с доступом к учётным данным, электронной почте и даже финансовой инфраструктуре.

Послание Гу однозначно: не следует массово развёртывать их таким образом. Он утверждает, что ИИ-агенты должны проверяться на вирусы и изолироваться до получения доступа к конфиденциальным данным или критически важным системам. Без такого разделения, предупреждает он, пользователи и компании рискуют предоставить широкий внутренний доступ программному обеспечению, которым можно манипулировать гораздо легче, чем многие ожидают.

Почему CertiK считает, что риски безопасности ИИ-агентов стремительно нарастают

CertiK придерживается мнения, что нынешняя волна развёртывания агентов создаёт серьёзную проблему безопасности. Гу описывает это как гонку, накапливающую огромный долг в сфере безопасности, движимую энтузиазмом по поводу автоматизации на фоне отставания базовых мер защиты.

В центре этого предупреждения — доверие. Многие инструменты ИИ с открытым исходным кодом, утверждает Гу, считаются безопасными, поскольку работают локально или подключаются через привычные каналы, включая стандартные мессенджеры, такие как WhatsApp. Однако локальный доступ не делает агента надёжным. Как только пользователи позволяют агенту проверять хранилища, просматривать историю выполнения или использовать личные и рабочие учётные данные, программное обеспечение может проникнуть в самые конфиденциальные области системы.

Именно поэтому риски безопасности ИИ-агентов привлекают всё больше внимания за пределами привычного круга специалистов по кибербезопасности. Речь идёт не просто о вредоносном ПО в старом понимании. Речь идёт об автономных системах, которым предоставляется разрешение действовать, извлекать информацию и перемещаться по рабочим процессам до того, как они были должным образом проверены или изолированы.

Как неизолированные ИИ-агенты могут быть захвачены

Предупреждение CertiK особо акцентировано на том, насколько легко эти системы могут быть перенаправлены. Гу говорит, что неизолированные агенты могут раскрывать локальные файлы, учётные данные, почтовые аккаунты и финансовые счета. Как только агент получает такой уровень доступа, ущерб от компрометации перестаёт быть теоретическим. Скомпрометированный бот может быть способен похитить данные или инициировать несанкционированные переводы средств.

Атаки с внедрением промптов через обычные файлы

Одной из наиболее очевидных угроз являются атаки с внедрением промптов. По словам Гу, скрытые инструкции могут быть встроены в контент, который выглядит безобидно, — включая веб-страницы, PDF-документы или входящие письма.

Когда ИИ-агент читает этот контент для выполнения задачи, он может не отличить доверенные инструкции от недоверенного внешнего ввода. В этот момент поведение агента может быть незаметно перенаправлено. На экране не появляется очевидного вредоносного запроса. Не всплывает никакого драматического предупреждения. Вместо этого система начинает следовать инструкциям злоумышленника, а не исходным правилам.

Это одна из главных причин, почему данная проблема актуальна прямо сейчас. Для многих пользователей безобидно выглядящий документ или письмо не воспринимается как угроза системного уровня. Но при использовании автономных инструментов именно эти обычные файлы могут стать каналом, через который агент будет захвачен.

Вредоносные навыки и поддельные зависимости

CertiK также указывает, что экосистема вокруг агентов уже демонстрирует более глубокие структурные уязвимости. Анализ выявил сотни критических предупреждений безопасности и незакрытых распространённых уязвимостей и угроз (CVE) в структурах агентов, а также раскрытые учётные данные.

Помимо этого, Гу говорит, что CertiK обнаружила вредоносные навыки, поддельные установщики и схожие по виду пакеты зависимостей на открытых хабах утилит для агентов. Это не просто небрежные ошибки кодирования. Они указывают на среду, в которой злоумышленники могут вмешиваться в процессы создания, обновления и расширения агентов.

Что делает эти угрозы труднее выявляемыми — это способ их действия. Гу говорит, что вредоносные плагины могут обходить традиционные антивирусные проверки, поскольку воздействуют на поведение агента через стандартный естественный язык, а не через сигнатурные паттерны старого типа. Проще говоря, агент может быть обманут и начать делать неправильные вещи, а атака при этом не будет выглядеть как классическое вредоносное ПО.

Почему CertiK продвигает архитектуру Zero Trust

Ответ Гу — это архитектура Zero Trust с непрерывной верификацией. Вместо того чтобы считать агент, плагин или зависимость безопасными после установки, каждая команда и зависимость должны проверяться на постоянной основе.

Этот подход соответствует масштабу проблемы, которую, по словам CertiK, компания наблюдает. Анализ фирмы выявил:

• сотни критических предупреждений безопасности
• незакрытые CVE
• раскрытые учётные данные в структурах агентов
• векторы атак, затрагивающие локальные файлы, электронную почту и финансовую инфраструктуру

Именно здесь проявляется более широкое значение проблемы. Риски безопасности ИИ-агентов касаются не только одного плохого приложения или одного скомпрометированного пользователя. Они указывают на модель, в которой автономность расширяется раньше, чем изоляция, сканирование и верификация становятся стандартной практикой. Если эти инструменты предназначены для работы с деньгами, бизнес-процессами или персональными данными, доверие не может быть настройкой по умолчанию.

Есть и криптовалютный аспект, который помогает объяснить, почему CertiK бьёт тревогу именно сейчас. Гу говорит, что компания наблюдала быстрые, эфемерные мошенничества в блокчейне, направленные против торговых ботов на основе ИИ и автоматизированных агентных систем. Эти мошенничества могут действовать всего 10 минут или несколько часов, после чего исчезают.

Эта деталь красноречива. Системы, управляемые машинами, могут работать на скорости, не оставляющей времени для проверки человеком, и злоумышленники, судя по всему, адаптируются к этой реальности. По существу, автоматизированные агенты становятся мишенями для автоматизированного мошенничества. Результатом является новый вид цикла атак «машина против машины», особенно в средах, связанных с активностью в блокчейне и автоматизированным движением средств.

Почему предупреждение CertiK выделяется именно сейчас

Предупреждение CertiK звучит в момент, когда ИИ-агенты позиционируются как инструменты повышения продуктивности и цифровые помощники. Однако аргумент Гу состоит в том, что возможности опережают контроль. Чем больше этим системам позволяют взаимодействовать с файлами, учётными данными и деньгами, тем меньше остаётся места для беспечных предположений о безопасности.

Его рекомендация проста: проверяйте агентов на вирусы, изолируйте их перед предоставлением доступа и прекращайте считать автономность безопасной по умолчанию.

Если этот совет будет проигнорирован, следующая волна атак может не полагаться сначала на обман людей. Они могут сразу нацелиться на агентов, действующих от их имени.