Далеко не 007: почему ИИ-агенты становятся лакомым куском для мошенников

Одним из главных трендов для бизнеса в 2026 году будут ИИ-агенты – умные системы на базе генеративных нейросетей, способные автоматизировать большое количество рутинных процессов. Они же несут в себе дополнительные риски, ведь мошенники тоже активно новым инструментом пользуются. Причем обоими возможными способами: и атакуя развернутые на предприятиях агентные системы, и применяя собственные ИИ-механизмы для более изощренных атак. Чем это грозит и как бороться со злоумышленниками – в материале «Профиля».

Про агентные системы «Профиль» писал уже не раз: это умные помощники на базе генеративного ИИ, автоматически решающие сложные задачи. Для внедрения необходимо сначала либо развернуть нейросети на собственных серверах, либо подключить внешние модели, такие как GigaChat или YandexGPT (мы говорим про Россию). На них надстраивается агентная логика – система из инструкций и последовательности действий в зависимости от условий и настроек. В подавляющем большинстве случаев ее разворачивают в контуре предприятия или на персональных компьютерах, и она же является самым уязвимым местом.

[embed]https://profile.ru/scitech/agenty-rasshiryajut-realnost-samy...[/embed]

«Важно понимать, что любой агентный ИИ – потенциальная точка атак, – предостерегает Андрей Арефьев, директор по инновациям и продуктовому развитию ГК InfoWatch. – Никто не может гарантировать, что в протокол взаимодействия, с которым работает агент, кто-то не вклинится и не начнет манипулировать вашей рабочей станцией, мимикрируя под ИИ, а на самом деле выполняя злонамеренные действия. Поэтому внедрение таких инструментов должно быть очень осмысленным, проходить через внутренние проверки, тесты на проникновение и так далее. И, конечно, модель должна обладать минимально возможными правами доступа к данным».

Подобные системы самостоятельно находят решения для сложных задач – в этом их суть. Здесь же кроется и проблема: если специалист не всегда хорошо понимает, как именно работают алгоритмы (будем честны: большинству важен результат, а не процесс), то, скорее всего, не сможет вовремя заметить, когда что-то пошло не так. Программное обеспечение (ПО) для автоматического обнаружения угроз тоже пока плохо умеет взаимодействовать с новой реальностью. Именно этим и пользуются мошенники, у которых есть несколько проверенных механизмов.

Одним из самых неприятных типов атак на развернутые в инфраструктуре предприятия агентные системы являются так называемые промпт-инъекции. По сути, это инструкции к поведению (их и именуют промптами), которые изначально не были заложены. Они заставляют ИИ делать что-то, чего тот не должен, и принимать это за легитимные команды. Самый простой способ – прямой диалог: через серию внешне безобидных команд злоумышленникам иногда удается извлечь чувствительные данные, например финансовые счета.

Еще более неприятной и непредсказуемой ситуация становится, когда ИИ-агент взаимодействует с другими внутренними системами предприятия и может передавать им информацию и команды. Едва ли нужно уточнять, какими будут последствия, если злоумышленник забросит туда заведомо ошибочные данные или транслирует собственные задачи ключевым сервисам организации, выдавая их за внутренние и маскируя с помощью тех же промпт-инъекций.

Схемы могут быть очень изощренными и, что самое главное, совсем незаметными поначалу. Грамотное «отравление моделей» начинает действовать не сразу, а с течением времени, внося корректировки постепенно. Как следствие, сиюминутно изменения отследить нельзя, а когда они станут очевидными, уже может быть поздно – есть риск, что вся сеть полностью скомпрометирована.

Показательный пример – история с OpenClaw, сверхпопулярной в начале года агентной системой на базе открытого исходного кода, которую активно используют как бизнес, так и частные лица. В феврале , что в код системы было внедрено около 400 зловредных навыков, которые позволили украсть у нескольких сотен пользователей $1,2 млн в криптовалюте.

После этого многие ИТ-корпорации сотрудникам применять систему, разрешив лишь изучить ее уязвимые места. В результате экспериментов среди прочего выяснилось: если настроить OpenClaw на составление сводок электронной почты (весьма распространенный корпоративный сценарий), то реализовать промпт-инъекцию можно с помощью всего одного письма на этот почтовый ящик. Например, таким образом можно заставить агента поделиться любыми файлами, которые находятся на компьютере пользователя.

Несмотря на противоречивость технологии, злоумышленники уже начали использовать возможности ИИ для более изощренных атак. Про простое применение генеративных нейросетей известно давно. Сегодня мошенники, по сути, делают то же, что и раньше, но быстрее и качественнее за счет алгоритмов: составляют сверхперсонализированные и убедительные фишинговые письма с помощью GPT-сервисов, пишут вредоносный код, используя общедоступные ИИ-инструменты.

[embed]https://profile.ru/scitech/obmanyvatsya-rad-pochemu-ljudi-sk...[/embed]

Сценариев становится все больше, и они усложняются. Например, сгенерировать поддельный, но очень убедительный сайт известного бренда («рекламный» или «маркетинговый»), банка или платежного сервиса (где, конечно, есть формы для ввода реквизитов) проще простого – таких примеров в индустрии уже довольно много. Также ИБ-эксперты упоминают, что генеративные модели научились самостоятельно обходить системы проверки «человек или нет» («капчу») и даже механизмы биометрической идентификации.

Отдельно стоит выделить именно агентные сценарии. Об одном из них в конце прошлого года американский ИИ-разработчик Anthropic. Проведя расследование подозрительной активности в своем сервисе Claude Code, компания смогла вычислить группу хакеров, которые использовали эту агентную систему для атаки на 30 крупных технологических, финансовых, производственных, государственных и иных организаций. В некоторых случаях атаки оказались успешными.

Большую часть работы (80–90%) в схеме выполнял именно агентный ИИ. Люди только провели базовые подготовительные действия: прописали логику, обеспечили подключение хакерских инструментов, декомпозировали задачу на последовательность шагов и затем выбирали конкретные цели для атак. Все остальное делали нейросети: инспектировали ИТ-инфраструктуры и находили в них уязвимости, писали скрипты для взлома и извлекали данные. Получив, например, логины и пароли, агент проникал в корпоративную сеть, где определял привилегированные (а значит, наиболее ценные) аккаунты, а также создавал новые, которые предоставляли хакерам уже постоянный доступ. Компания заявляет, что закрыла все обнаруженные «дыры» и предупредила пострадавших, но, насколько подобное в принципе поддается отслеживанию, все же вопрос.

Наконец, по аналогии с даркнетом – теневой стороной глобальной сети –злоумышленники постепенно разворачивают и собственную ИИ-инфраструктуру. Что логично, ведь Anthropic, OpenAI и остальные компании системно отслеживают и пресекают мошеннические схемы. Поэтому возникают WormGPT, FraudGPT и другие модели, заточенные под хакерские задачи. В их основе лежат легитимные разработки с открытым исходным кодом, но с отключенной фильтрацией и промпт-настройками для создания фишингового контента и вредоносного софта. А в начале 2026-го в Сети появился Molt Road – черный рынок, где различные агентные системы могут автоматически обмениваться между собой информацией, в том числе украденными учетными записями, найденными уязвимостями и даже новыми навыками для взлома.

Возникает закономерный вопрос: как защищать компьютерные системы и сети в условиях бурного развития ИИ-технологий? Прежде всего остаются в силе и становятся еще более важными стандартные правила кибербезопасности: регулярно проверять целостность инфраструктуры, не публиковать в открытом доступе (включая внешние GPT- и агентные сервисы) чувствительную информацию и другое. Что же касается новых подходов, тут ситуация сложнее.

«Сложившихся практик контроля и защиты при работе с агентным ИИ, которые можно было бы назвать неким стандартом, еще нет, – говорит Андрей Арефьев из InfoWatch. – При этом инструменты, способные контролировать сетевые соединения, выявлять аномалии, в том числе в действиях внутри инфраструктуры, уже существуют в виде вполне зрелых решений».

[embed]https://profile.ru/scitech/ii-boyatsya-v-nejroset-ne-hodit-k...[/embed]

Можно предполагать, что в скором будущем необходимые стандарты появятся. В минувшем феврале NIST (Национальный институт стандартов и технологий США) федеральную программу стандартизации именно агентных систем. Ее задача описана, как всегда в таких случаях, верхнеуровнево: обеспечить надежность и управляемость рисков, а также интероперабельность (то есть понятное взаимодействие с другими системами на базе единого набора протоколов). В России эту задачу, вероятно, будет выполнять готовящееся профильное госрегулирование.

Пока же эксперты ограничиваются набором базовых, но крайне важных рекомендаций. Андрей Арефьев дает их списком: запрещать бесконтрольную установку агентов, максимально ограничивать их доступы (особенно – к файлам на рабочих ПК и серверах), подробно фиксировать все внесенные агентами изменения.

«Никто не может гарантировать, что конкретный агент не передаст документы, хранящиеся на рабочей станции, в облако. Также не стоит устанавливать модели на рабочие станции пользователей с широкими правами, чтобы агент случайным образом не получил доступ к данным учетных записей и конфиденциальной информации. Например, не нужно ставить такую систему на ПК привилегированных пользователей или системных администраторов, которые, как правило, имеют расширенные полномочия. Разумный вариант – запуск агента под отдельной учетной записью с минимальными правами», – советует эксперт.

В целом большинство рекомендаций ИБ-специалистов сводится к выстраиванию барьеров: тщательно контролировать и максимально ограничивать каналы взаимодействия агентов и результаты их работы, валидировать входные и фильтровать выходные данные, четко прописывать все возможные правила поведения и так далее. Особняком стоит подготовка экстренного завершения работы – всегда нужно иметь под рукой условную «красную кнопку», которая немедленно прекратит выполнение любой задачи агентным ИИ.

Ключевые правила применения агентных систем в целом совпадают с особенностями «общения» со стандартными GPT-системами вроде ChatGPT, DeepSeek или «Алисы». Ни при каких обстоятельствах (только если ИБ-служба даст добро) не загружать туда персональные данные или документы с коммерческой тайной, не использовать один и тот же инструмент для личных и рабочих целей, всегда критически оценивать результат и по возможности находить второе независимое мнение.

[embed]https://profile.ru/scitech/glavnoe-ob-ii-suverennyj-intellek...[/embed]

Системы вроде OpenClaw завлекают огромным количеством возможных интеграций и инструментов. Такие инструменты действительно сами могут подключаться к мессенджерам, почтовым клиентам и другим приложениям, как рабочим, так и личным. Однако интеграции не стоит реализовывать скопом: каждую следует тщательно проверить, прописать правила и постоянно контролировать – хотя бы с помощью алгоритмов безопасности. Отдельно рекомендуется отслеживать, данные каких аккаунтов видит система и не залезла ли она, куда не нужно: ИИ нынче становится все более самостоятельным и любопытным.

Само собой, важно внимательно относиться к «странному поведению» агента. Он может пытаться выполнить операции, которые пользователь и не думал запускать, оправдывая это рабочей необходимостью, запрашивать доступы и API-ключи, позволяющие управлять другими внутренними системами, – «для удобства» например. Иногда может начать обсуждение «серых подходов»: как обойти ту или иную политику безопасности или скрыть какие-либо действия. Обо всех подобных симптомах без исключения следует сообщать ИБ-службе.

Специалистам по безопасности, в свою очередь, следует отдельно отслеживать активность подобных приложений. Это становится все сложнее, поскольку агентов могут нагружать «работой на ночь»: пока сотрудник спит, ИИ продолжает трудиться. Тем не менее любой всплеск активности во внеурочное время – потенциальный сигнал тревоги: мошенники могут пытаться проникнуть в инфраструктуру предприятия именно тогда, когда на работе никого нет.

В целом мы наблюдаем очередной виток бесконечной спирали: появляется новый инструмент, рядовые пользователи используют его для своих задач, хакеры находят инновационные методы взлома, ИБ их пресекает с помощью схожих инструментов, злоумышленники создают пути обхода и так далее. Нынешняя ситуация усложняется тем, что сам по себе агентный ИИ в корне меняет парадигму: мы все дальше уходим от понятных и прямолинейных алгоритмов в плохо контролируемую среду, где одному ИИ и ведомо, что происходит на самом деле. Но даже ему невдомек, к чему это приведет уже в ближайшие годы.