42% организаций столкнулись с инцидентами безопасности из-за использования ИИ-агентов

Интеграция автономных ИИ-агентов в бизнес-процессы стала катализатором новых векторов киберугроз. По данным аналитики «Информзащиты», доля организаций, зафиксировавших инциденты безопасности при работе с такими системами, за год выросла с 31% до 42%. Рост обусловлен переходом ИИ-решений из стадии пилотирования в промышленную эксплуатацию: агенты сегодня активно внедряются в ИТ-инфраструктуру, инженерные службы, закупки и клиентские сервисы.

Проблемы видимости и контроля цепочек решений

Критическим фактором стало время реагирования на инциденты: в 58% случаев компаниям требуется более пяти часов для обнаружения и нейтрализации угрозы. Основной технический барьер здесь — отсутствие сквозного журналирования действий ИИ. В текущих архитектурах команды часто видят только финальный результат, не имея возможности восстановить контекст: какой именно промпт, набор инструментов или массив данных спровоцировали конкретное действие.В отличие от стандартных чат-ботов, агентные системы обладают расширенными функциями: они взаимодействуют с API, редактируют документы, управляют репозиториями, подключаются к CRM, SIEM-системам и выполняют произвольные скрипты. При недостаточно проработанных правах доступа агент начинает действовать за рамками своего функционального назначения. Исследования подтверждают, что 53% компаний сталкивались с превышением полномочий, когда ИИ-агенты обращались к хранилищам или учетным записям, не предусмотренным исходным алгоритмом.

Децентрализация и сложности управления идентичностями

Росту рисков способствует децентрализованный подход к внедрению. Только 5% организаций используют единые платформы для оркестрации ИИ, в то время как подавляющее большинство (87%) эксплуатируют от двух до четырех и более различных платформ. Это приводит к возникновению «теневого ИИ»: часть агентов развертывается бизнес-подразделениями без согласования с ИБ, часто с использованием личных токенов или низкоуровневых (low-code) инструментов с чрезмерными правами на запись.Технически ИИ-агент воспринимается целевыми системами как обычная учетная запись, однако инструменты IAM (Identity and Access Management) не адаптированы к автономному поведению нечеловеческих идентичностей. Применение принципа минимально необходимого доступа кардинально меняет статистику: в организациях, внедривших такую практику, инциденты происходят лишь в 17% случаев, тогда как в компаниях без строгих ограничений этот показатель достигает 76%. Ситуацию также усложняет внедрение новых протоколов взаимодействия — например, Model Context Protocol (MCP) и Agent-to-Agent (A2A), которые создают новые уровни доверия без встроенных механизмов контроля со стороны классических систем защиты. В крупных компаниях доля неинвентаризированных агентов достигает 27%, а в организациях, активно использующих low-code, показатель доходит до 39%.

Классификация угроз и отраслевая специфика

Структура атак на агентные приложения смещается в сторону специфических векторов. По классификации, близкой к OWASP Top 10 for Agentic Applications, лидирующую позицию (31%) занимают злоупотребления правами и выход за рамки разрешенных сценариев. На инъекции в промпты и подмену инструкций приходится 24% событий, на утечки через коннекторы — 18%, а на компрометацию API-ключей и сервисных аккаунтов — 9%.В отраслевом разрезе наиболее уязвимыми оказались финансовые организации (26% инцидентов) из-за высокой плотности интеграций и автоматизации критических процессов. За ними следуют ИТ и телеком (21%), промышленность (17%) и ритейл (14%). Инциденты 2026 года, включая компрометацию через сторонние инструменты и эксплуатацию уязвимостей типа EchoLeak (CVE-2025-32711) в MS 365 Copilot, подтверждают, что риски цепочек поставок и отсутствие «песочниц» для выполнения кода становятся ключевыми точками отказа.

Рекомендации по минимизации рисков

Для противодействия угрозам эксперты «Информзащиты» рекомендуют внедрение комплексного жизненного цикла управления ИИ-агентами. Это включает ведение реестра с указанием владельца каждой сущности, использование «надзорных агентов» (guardian agents) для мониторинга аномалий в реальном времени и внедрение механизмов принудительной остановки (kill switch).Технически это подразумевает изоляцию секретов от контекста модели, запуск операций в изолированных средах (sandboxing) и разделение слоев доступа к действиям и данным. Инвентаризация нечеловеческих идентичностей и присвоение каждому агенту индивидуальной сервисной учетной записи позволяют избежать проблем с привилегиями, свойственных использованию общих ключей. Превентивная интеграция этих мер в процессы управления уязвимостями оказывается экономически более целесообразной, чем попытки корректировки безопасности постфактум.