Новость
Эксперты компании «Информзащита» зафиксировали резкий рост угроз, связанных с подключением ИИ-агентов к корпоративной инфраструктуре — электронной почте, внутренним базам, документообороту, клиентским сервисам и финансовым транзакциям. При этом механизмы контроля за их действиями остаются недостаточно развитыми. К 2026 году лишь 14% организаций располагают встроенными инструментами, позволяющими выявить попытку манипуляции и пресечь опасный сценарий без участия человека.
Согласно собранным данным, доля проектов, в которых ИИ-агенты получают доступ к внешним письмам, веб-ресурсам, документам и обращениям пользователей, за год выросла с 18% до 34%, а количество запросов на оценку безопасности таких сценариев увеличилось на 41%.
Агенты все чаще применяются для потоковых задач: обрабатывают входящие сообщения, извлекают информацию из контрактов и таблиц, готовят ответы, создают заявки, переносят данные между системами. В ряде компаний они действуют как полноценные участники процессов с доступом к корпоративному контуру. Такой агент получает сведения извне, сопоставляет их с внутренними данными и при определенных настройках инициирует последующие действия.
Типичный сценарий атаки начинается через почту: приходит запрос от контрагента, в форму поддержки загружается обращение клиента, в документе появляется комментарий, на сайте публикуется текст, который агент должен использовать как источник. Внутри такого контента злоумышленник прячет инструкцию — изменить логику обработки, раскрыть данные, перенаправить информацию, проигнорировать ограничение или сформировать ответ с нужной формулировкой. Сотрудник видит обычное деловое письмо, а агент может воспринять скрытую команду как часть рабочего контекста и выполнить ее как штатную операцию. Расследование осложняется тем, что действие не выглядит как классический взлом: оно проходит через легальный сценарий автоматизации.
Многие проекты запускаются в бизнес-подразделениях с конкретной целью — сократить время обработки писем, ускорить работу первой линии поддержки или систематизировать поток документов. Команды информационной безопасности подключаются уже после пилота, когда агент получил доступ к почтовому ящику, файловому хранилищу, системе заявок или клиентской базе. Права при этом часто выдаются с избытком, поскольку широкий доступ повышает качество результата. С точки зрения защиты такая логика создает лишние привилегии, размывает границы ответственности и усложняет восстановление цепочки событий.
По векторам атак лидирует электронная почта и вложения — около 32% выявленных рискованных сценариев. Речь идет о письмах от клиентов, поставщиков, подрядчиков, соискателей и партнеров, где скрытая инструкция маскируется под обычную деловую переписку. Сайты и внешние базы знаний формируют 24% случаев: агент обращается к ним для подготовки ответа, сверки информации или поиска справочных данных. Документы контрагентов дают около 18% сценариев — таблицы, презентации, договоры, технические описания, комментарии, скрытые элементы форматирования и метаданные. На чаты, системы заявок и клиентские формы приходится 15%. Еще 11% связаны с цепочками из нескольких систем, где команда появляется в одном канале, а действие выполняется в другом: письмо приводит к созданию заявки, заявка меняет данные в карточке клиента, после чего система отправляет подтверждение внешнему адресату.
Особенно опасен разрыв между скоростью работы агента и скоростью проверки. Ручной контроль эффективен, когда речь идет о единичном черновике или операции, где у сотрудника есть время внимательно изучить результат. В потоковых процессах такая проверка быстро превращается в задержку, которую начинают обходить ради скорости. По данным специалистов, 25% организаций полагаются на ручную проверку высокорисковых результатов, 14% умеют выявлять манипуляцию, но не могут автоматически остановить агента, 34% знают о риске, но не имеют средств обнаружения и блокировки. Еще 14% компаний пока не включили такой сценарий в модель угроз. При реальном инциденте агент успевает отправить данные вовне, согласовать заявку, подготовить изменение реквизитов или сформировать ответ с вредоносной ссылкой раньше, чем событие попадет к ответственному специалисту.
Сильнее всего проблема проявляется в отраслях, где внешние запросы быстро переходят во внутренние действия. В финансовом секторе сосредоточено около 31% выявленных сценариев повышенного риска: агенты помогают разбирать платежные запросы, клиентские обращения, документы по операциям и внутренние заявки. На розничную торговлю и электронную коммерцию приходится 19% — зона риска связана с поддержкой покупателей, возвратами, бонусными программами, личными кабинетами и изменением контактных данных. Промышленность и логистика дают около 14% сценариев из-за документооборота с поставщиками, заявок на отгрузку, маршрутной информации и производственных инструкций. В ИТ-компаниях и у разработчиков программного обеспечения доля составляет 13%, поскольку агенты получают доступ к задачам, технической документации, хранилищам кода и описаниям внутренних процессов. Телекоммуникации занимают 9%, здравоохранение — 8%, государственные и профессиональные услуги — 6%.
Агент с доступом к почте, файловому хранилищу и системе заявок фактически является непривилегированным администратором без аудита. Его права необходимо пересматривать так же строго, как права администратора, финансового сотрудника или оператора клиентской поддержки. Особого внимания требуют цепочки из нескольких агентов и систем: один инструмент анализирует письмо, второй извлекает данные, третий создает запись, четвертый отправляет ответ. Чем длиннее такая связка, тем сложнее понять, где появилась вредоносная команда и какой элемент выполнил опасное действие. Без подробных журналов, привязки операций к конкретному агенту и контроля переходов между системами расследование быстро теряет точность.
Снижать риск можно через управляемую архитектуру использования ИИ-агентов. У каждого агента должен быть владелец, четко описанная цель, ограниченный набор источников данных и перечень действий, разрешенных без дополнительного подтверждения. Внешний контент необходимо проверять до передачи агенту: письма, документы, страницы и вложения должны проходить фильтрацию на скрытые команды, попытки изменить роль агента и инструкции, выходящие за рамки исходной задачи. Для операций с высоким риском требуется отдельный уровень подтверждения. Изменение платежных реквизитов, отправка персональных данных, массовая рассылка, действия с правами пользователей и доступ к финансовым системам должны выполняться только после проверки ответственным сотрудником или через заранее настроенный механизм доверенного согласования. Практическую основу защиты составляют журналирование, контроль поведения, ограничение внешней передачи данных и автоматическое сдерживание. При отклонении от нормального сценария агент должен остановиться самостоятельно и передать событие в разбор.