C
ChaoBro
Тренды

"Your Agent, Their Asset": 14 исследователей безопасности провели атаку на ИИ-агентов, задокументировав 12 путей перехвата

by ChaoBro
#Безопасность ИИ #Безопасность агентов #Атака отравлением #UC Santa Cruz #Академическое исследование #Перехват агентов
"Your Agent, Their Asset": 14 исследователей безопасности провели атаку на ИИ-агентов, задокументировав 12 путей перехвата

Что произошло

В апреле 2026 года статья по безопасности под названием "Your Agent, Their Asset" привлекла внимание как академического сообщества, так и сообщества инженеров ИИ. Четырнадцать исследователей из UC Santa Cruz, Беркли, лаборатории безопасности Tencent и команды безопасности ByteDance провели систематический пентест наиболее широко развёрнутого персонального ИИ-агента, успешно получив полный контроль и задокументировав 12 различных путей атак через отравление.

Это не теоретические изыскания — исследователи фактически выполнили атаки и проверили реализуемость каждого пути.

12 путей атак, классифицированных

Исследователи разделили 12 путей атак на три категории:

🔴 Отравление на уровне данных (4 пути)

  1. Инъекция в тренировочные данные: Внедрение вредоносных паттернов в наборы данных предобучения/дообучения агента
  2. Загрязнение базы знаний RAG: Внедрение misleading-документов в поисковую базу знаний агента
  3. Подделка хранилища памяти: Модификация постоянной памяти агента для изменения его поведенческой базовой линии
  4. Перехват контекстного окна: Внедрение тщательно сконструированных промптов в пользовательские диалоги для перезаписи системных инструкций

🟡 Перехват на уровне инструментов (4 пути)

  1. MITM-атака на MCP-сервер: Пер перехватом коммуникации между агентом и внешними инструментами, модификация ввода/вывода
  2. Атака через цепочку зависимостей навыков: Распространение вредоносного кода через зависимости сторонних навыков
  3. Эксплуатация утечки API-ключей: Использование сохранённых агентом API-ключей для доступа к внешним сервисам
  4. Повышение привилегий файловой системы: Получение доступа на уровне системы через права агента на файловые операции

🟠 Меж-агентное распространение (4 пути)

  1. Инфекция через коммуникацию мульти-агентов: Заражённый агент заражает другие через передачу сообщений
  2. Загрязнение общего рабочего пространства: Распространение вредоносных инструкций через общие рабочие пространства агентов
  3. Перехват цепочки вызовов инструментов: Вывод вызова инструмента агента A обрабатывается агентом B как доверенный ввод
  4. Перекрёстная утечка данных между тенантами: В мультитенантных средах агент одного пользователя получает доступ к данным другого

Что сделала исследовательская команда

  1. Получили полный доступ: Сначала получили полный доступ к целевому агенту (через легальные каналы или авторизацию пользователя)
  2. Выполнили атаки отравлением: Проверили реализуемость всех 12 путей поочерёдно
  3. Задокументировали масштаб воздействия: Количественно оценили утечку данных, финансовые потери или разрушение системы, которые могла вызвать каждая атака
  4. Ответственное раскрытие: Предоставили отчёты о уязвимостях соответствующим вендорам до публикации статьи

Ключевой вывод: большинство путей атак не требуют эксплуатации каких-либо уязвимостей в коде. Злоумышленникам нужно лишь понять модель доверия агента, чтобы достичь вредоносных целей через «легитимные» интерфейсы.

Влияние на индустрию

Время публикации этой статьи критически важно:

  • CISA и Five Eyes только что выпустили «Руководство по безопасности Agentic AI» в начале мая
  • Исследовательская команда Microsoft одновременно сообщила о проблемах перекрёстного заражения в мульти-агентных сетях
  • Google DeepMind также опубликовала фреймворк, документирующий 6 типов атак перехвата ИИ-агентов

Это означает, что безопасность ИИ-агентов переходит из «академической заботы» в «промышленный приоритет».

Рекомендации по действиям

Краткосрочные (эта неделя):

  • Проверьте, какие навыки/плагины установлены у вашего ИИ-агента, удалите ненужные
  • Проверьте права API-ключей, используемых агентом, понизьте до минимально необходимых

Среднесрочные (этот месяц):

  • Создайте процесс проверки безопасности ИИ-агентов в вашей команде
  • Разверните логирование аудита и обнаружение аномалий для агентов в продакшене

Долгосрочные (этот квартал):

  • Оцените необходимость внедрения инструментов сканирования безопасности агентов
  • Рассмотрите adoption архитектуры нулевого доверия для проектирования мульти-агентных систем

Чем мощнее ИИ-агент, тем больше разрушений он может причинить при перехвате. Безопасность нельзя откладывать на потом — она должна быть заложена в архитектуру с первого дня.

Похожие материалы

Академические исследования тоже стали агентными: полный цикл от выбора темы до публикации с Claude Code

academic-research-skills: 6,6 тыс. звёзд, 384 коммита. Набор навыков Claude Code для академических исследований, охватывающий весь цикл: research → write → review → revise → finalize. Фокус на human-in-the-loop, а не на полностью автоматической генерации статей.

AiToEarn: ИИ-маркетинговый агент для «компании одного человека» с 12 тыс. звёзд — полный цикл от создания до монетизации

AiToEarn: 12,4 тыс. звёзд, 2596 коммитов. ИИ-агент для контент-маркетинга, ориентированный на OPC (компании одного человека), охватывающий четыре ключевых этапа: Monetize, Publish, Engage, Create. Поддерживает автоматическую публикацию и монетизацию контента на 10+ глобальных платформах.

Anthropic открыла полный набор агентов для финансовой сферы: инвестиционный банкинг, исследования и риск-менеджмент

Anthropic открыла репозиторий financial-services: 21,9 тыс. звёзд, рост на 13 тыс.+ за неделю. Внутри 10 агентов для финансовой сферы, включая Pitch Agent, Market Researcher, GL Reconciler, охватывающие весь цикл инвестиционного банкинга, частного капитала и управления благосостоянием. Ещё важнее то, что он задаёт стандартный шаблон для отраслевых агентов.