惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

IT之家
IT之家
NISL@THU
NISL@THU
The Hacker News
The Hacker News
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Tenable Blog
Forbes - Security
Forbes - Security
V2EX - 技术
V2EX - 技术
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
T
The Exploit Database - CXSecurity.com
T
Tor Project blog
C
Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
The Last Watchdog
The Last Watchdog
PCI Perspectives
PCI Perspectives
O
OpenAI News
C
Cyber Attacks, Cyber Crime and Cyber Security
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Google Online Security Blog
Google Online Security Blog
宝玉的分享
宝玉的分享
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
量子位
D
Docker
AI
AI
Blog — PlanetScale
Blog — PlanetScale
S
Security @ Cisco Blogs
S
Schneier on Security
The GitHub Blog
The GitHub Blog
W
WeLiveSecurity
云风的 BLOG
云风的 BLOG
M
MIT News - Artificial intelligence
P
Privacy International News Feed
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
H
Hackread – Cybersecurity News, Data Breaches, AI and More
B
Blog
C
Check Point Blog
A
About on SuperTechFans
D
Darknet – Hacking Tools, Hacker News & Cyber Security
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Engineering at Meta
Engineering at Meta
I
InfoQ
T
Threat Research - Cisco Blogs
Project Zero
Project Zero
Cloudbric
Cloudbric
MongoDB | Blog
MongoDB | Blog
Cisco Talos Blog
Cisco Talos Blog
L
Lohrmann on Cybersecurity
S
Securelist

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Сеть, в которой живут агенты: кто нажал Enter и как это проверить
Ideco (Ideco · 2026-04-28 · via Все публикации подряд на Хабре

Уровень сложностиСредний

Время на прочтение9 мин

Охват и читатели537

Аналитика

К 2028 году в корпоративных средах будет работать 1,3 млрд AI-агентов, а классическая модель identity по-прежнему исходит из допущения «один деятель – один человек». Разбираем, что ломается в аутентификации, почему service account и OAuth-токен больше не закрывают задачу, и как мы в Ideco смотрим на ближайшее развитие средств защиты: непрерывная биометрия для людей и делегированные токены для агентов.

Цифры, которые ломают ИБ-ландшафт

На RSAC 2026 Microsoft, опираясь на прогноз IDC, заявила о 1,3 млрд AI-агентов в корпоративных средах к 2028 году (Windows Forum, RSAC 2026, Lantern Studios). Это не «копилоты, которые помогают писать письма» или «чатики» – это автономные исполнители, у которых есть права, токены и доступ к продуктовым системам.

Мы сами уже видим лавинообразное «нашествие агентов» как в собственной, так и в чужих корпоративных сетях.

Атакующая сторона тоже меняется. В отчёте о кампании GTG-1002 Anthropic зафиксировала первую массовую AI-оркестрированную операцию: взломанная версия Claude, подключённая к набору MCP-серверов, выполнила 80–90% тактических операций самостоятельно – разведку, поиск уязвимостей, эксплуатацию, сбор учётных данных, латеральное движение (Anthropic, Disrupting the first reported AI-orchestrated cyber espionage campaign, Paul, Weiss разбор). Человек был нужен на 4–6 точках принятия решений за всю кампанию.

И последняя цифра, без которой картина неполная. По 2025 Identity Security Landscape от CyberArk (опрос 2 600 ЛПР-ов в сфере ИБ), на каждую человеческую идентичность в средней организации приходится 82 машинных; 42% этих NHI имеют привилегированный доступ или доступ к чувствительным данным, при этом 88% респондентов всё ещё относят определение «привилегированный пользователь» исключительно к людям. 87% компаний за последние 12 месяцев пережили минимум два успешных identity-центричных инцидента.

Вывод простой. Все защиты, которые мы строили десять лет – MFA, SSO, ZTNA – оптимизированы под пользователя, который раз в день логинится. Но настоящий «пользователь» вашей сети к 2028-му – это агент, который делает тысячи запросов в секунду от имени неясно кого.

Почему классический IAM ломается

Identity исторически построена вокруг одного допущения: за действием стоит человек. Хороший или плохой, авторизованный или нет – но человек. Все остальные конструкты натянуты поверх этой модели и в агентном мире протекают:

  • Service account. Слишком статичен, слишком привилегирован, не имеет TTL, на практике никогда не отзывается. CyberArk показывает, что значимая доля машинных идентичностей вообще не попадает в поле зрения IAM-команд, а Gartner прямо рекомендует уходить от классических service-аккаунтов к dynamic service identities – эфемерным учёткам с узким scope, управляемым через политики.

  • OAuth-токен. Не различает, кто реально выполнил действие – пользователь сам или агент от его имени.

  • API-ключ. Не поддерживает цепочки делегирования «агент A → агент B → инструмент C» с сужением прав на каждом шаге.

  • MFA. Когда у вас в продакшене 500 агентов, делающих платёжные операции, требование «второй фактор на каждое действие» теряет операционный смысл – ГОСТ 57580 написан не про эту реальность.

Ни один существующий примитив не закрывает задачу: «агент X действует от имени человека Y в scope Z на TTL T минут с возможностью субделегирования и полным аудитом каждого шага в цепочке».

Новые векторы угроз: атака на агентскую плоскость

Параллельно с identity-кризисом появился отдельный класс атак, который классический NGFW и SIEM не видят, потому что не понимают семантику взаимодействия LLM с инструментами.

Вектор

Суть

Пример

Prompt injection

Скрытые инструкции в пользовательских данных или внешнем контексте перехватывают управление LLM

Supabase Cursor с привилегированной service-role обработал тикет с встроенной SQL-инструкцией и слил токены в публичный тред (Practical DevSecOps)

Tool poisoning

Вредоносный MCP-сервер выдаёт нормальные на вид tool descriptions с инструкциями внутри

OWASP формализовал шаблон в MCP Tool Poisoning: «безобидный» инструмент сообщает агенту прочитать /etc/shadow

Shadow agents

Сотрудники подключают неавторизованных агентов к корпоративным системам, минуя IT и ИБ (а как без них работать?)

MCP как «новый Shadow IT» (Qualys TotalAI, март 2026)

MPMA (Preference Manipulation)

Атакующий меняет ранжирование инструментов так, чтобы агент стабильно выбирал «отравленный»

Описан в академических MCPTox-бенчмарках

Model poisoning

Закладки на этапе fine-tuning или в supply chain весов

Особенно опасно для приватных дообученных моделей в регулируемом контуре

Объединяет всё это одно: атакующему не нужны 0-day, малварь и обход EDR. Достаточно валидных учётных данных и доверенного агента, которого аккуратно «попросили» сделать что-то не то.

Аутентификация живого пользователя: от точки к непрерывности

Первая часть ответа касается людей. Привычная схема «один раз ввёл пароль и второй фактор – дальше работаешь» в мире, где за твоим терминалом могут сидеть агенты, перестаёт быть осмысленной.

CAPTCHA обходится любым ботом с пачкой бесплатных прокси. Device fingerprinting обходится. Поведенческая биометрия первого поколения будет сломана агентами в следующем цикле – не потому что защита плохая, а потому что агенты научились имитировать человека лучше, чем средний человек умеет доказывать, что он человек.

Реалистичный ответ – continuous authentication: непрерывная фоновая верификация, при которой identity подтверждается не одним событием логина, а потоком сигналов в течение всей сессии. Конкретно:

  1. Behavioral biometrics в фоне. Ритм печати, паттерны мыши, манера прокрутки, тайминги переключения окон. Машинное обучение строит индивидуальный профиль за 2–4 недели пассивного наблюдения.

  2. Периодическая физиологическая биометрия. На критичных операциях – подтверждение лица или отпечатка через FIDO2-устройство. Не на каждом клике, а по риск-движку: смена IP, доступ к чувствительной системе, аномалия в behavioral-профиле.

  3. Risk-based step-up. Низкий риск – пропускаем. Средний – step-up MFA. Высокий – терминируем сессию и принудительно перепроверяем человека.

  4. Привязка к устройству и среде. SPIFFE-подобная привязка идентичности не только к пользователю, но и к доверенному узлу.

Это осознанный компромисс. Непрерывная биометрия – это телеметрия с рабочего места и регуляторный риск по персональным данным. Но альтернатива в виде «пять MFA-окон в час» убивает продуктивность и сама становится вектором атаки через alert fatigue.

Аутентификация агента: привязка к хозяину

Вторая часть ответа – про агентов. И здесь, в отличие от behavioral biometrics, индустрия неожиданно быстро сошлась вокруг одного семейства решений: OAuth с явной делегацией и сужением scope на каждом hop.

Базовая идея: токен агента всегда имеет две части – subject (человек, от чьего имени действует агент) и actor (сам агент). Через RFC 8693 token exchange и On-Behalf-Of-flow токен может быть преобразован в более узкий при передаче в downstream-сервис (Scalekit: OAuth for AI agents). Через RFC 9396 Rich Authorization Requests scope описывается не плоской строкой, а структурой – какой инструмент, на какой ресурс, в каких пределах.

В IETF (это те, кто утверждает RFC) уже готовится DAAP – Delegated Agent Authorization Protocol, который собирает всё это в единый протокол (IETF datatracker):

  • DID для криптографической идентичности агента.

  • Grant Token в формате JWT с agent-specific claims и коротким TTL.

  • Cascade revocation: отзыв родительского grant автоматически инвалидирует все downstream-делегации.

  • Scope attenuation: scope sub-агента обязан быть строгим подмножеством родительского.

  • Delegation depth limit: глубина цепочки настраивается администратором, дальше – отказ (как TTL в сетевых протоколах).

  • Append-only audit trail с хеш-цепочкой – для проверяемости каждого шага.

В итоге авторизация выглядит так: пользователь даёт человеко-читаемое согласие («агент Х может читать письма за последние 7 дней и отвечать на них в моём имени до 18:00»), система выпускает токен с явной парой subject/actor и набором структурированных authorization details, любой downstream-вызов проходит через token exchange с обязательным сужением scope. На стороне инфраструктуры – gateway, который терминирует и валидирует токен, никогда не пробрасывает upstream-токены вглубь и записывает всё действия в журнал.

Принцип, который из этого следует, простой: нет идентичности агента без идентичности его хозяина. Любой агент в корпоративной сети должен быть либо явно делегирован конкретному человеку, либо явно зарегистрирован как сервисная сущность с понятным владельцем и kill-switch.

Цепочки делегирования: как выглядит токен будущего

Примерно так выглядит структура grant-токена в духе DAAP/Coalition for Secure AI:

{
  "iss": "https://idp.ideco.ru",
  "sub": "user:ivanov@ideco.ru.ru",
  "actor": {
    "did": "did:grantex:agent-7f3a",
    "type": "ai-agent",
    "model": "internal-llm-v4",
    "execution_env": "spiffe://ideco.ru/ns/agents/marketing"
  },
  "scp": ["mail:read", "mail:reply"],
  "authorization_details": [{
    "type": "mail_action",
    "actions": ["read", "reply"],
    "constraints": {
      "max_age_days": 7,
      "deadline": "2026-04-28T18:00:00+05:00"
    }
  }],
  "delegation_depth": 1,
  "delegation_max_depth": 2,
  "exp": 1745851200,
  "audit_chain": "sha256:..."
}

Если агент-маркетолог делегирует часть задачи агенту-переводчику, новый токен наследует subject = ivanov@ideco.ru, actor обновляется на сабагента, delegation_depth увеличивается на 1, scope сужается до mail:read. Любой отзыв родительского grant через CAE/SSF мгновенно гасит цепочку.

Это понятное операционное требование. Без явного actor-claim вы не сможете честно ответить на вопрос аудитора «кто инициировал транзакцию», когда между человеком и API окажется пять промежуточных агентов.

Регуляторика не успевает – и это окно

PCI DSS требует уникальной идентификации каждого человека с доступом к платёжным данным. ФСТЭК и ЦБ РФ работают с терминами «пользователь», «субъект доступа», где субъект по умолчанию – человек. ГОСТ 57580 требует MFA для критичной инфраструктуры в логике, не предусматривающей автономных агентов.

Ни один крупный регулятор пока не готов к миру, где половина идентичностей в сети – не человеческие. Это создаёт две развилки.

Первая – театр регуляторного абсурда. Организации натягивают требования 2010 года на реальность 2026-го: агенты оформляются как обычные сервисные учётки, цепочки делегирования не логируются, аудитор не знает, что спрашивать, CISO не знает, что отвечать. Так будет до первого громкого инцидента в РФ – а судя по динамике GTG-1002, ждать недолго.

Вторая – битва за стандарт. Тот, кто первым принесёт регулятору внятную модель Agent IAM, словарь, методику аудита и пилот – тот и будет писать требования и первым получит сертификат. Окно для этого хода открыто примерно год-полтора.

Где это в сетевой безопасности и NGFW

Мы в Ideco исходим из того, что NGFW – это естественная точка контроля для агентского трафика. Через периметр и внутренние сегменты идёт всё: вызовы агентов к внешним API, обращения к MCP-серверам, межсервисные запросы между микросервисами под управлением AI-оркестраторов. Без identity-aware политик этот трафик – чёрный ящик.

Что мы делаем и куда идём в ближайших релизах:

  • Identity-aware NGFW. Политики, привязанные не к IP, а к паре subject/actor – человеку и агенту, действующему от его имени. Решение принимается с учётом атрибутов токена, а не только сетевых заголовков.

  • MCP-gateway внутри контура. Allowlist разрешённых MCP-серверов, валидация tool descriptions на инъекции, явное подтверждение чувствительных операций вне LLM-контекста – по логике рекомендаций OWASP.

  • Risk-based ZTNA. Интеграция с behavioral-биометрией и физиологической MFA на стороне рабочего места: NGFW понимает риск-скор и динамически меняет уровень доступа в течение сессии, а не только на этапе подключения.

  • Журнал делегирований. Аудит, в котором для каждого пакета можно восстановить цепочку: кто человек, какой агент, через какие subagent-токены пришёл запрос, какой был scope.

Это революционный подход для любого современного NGFW. Но это необходимый инженерный ответ на сдвиг, который уже произошёл: к 2028 году ваш периметр будет защищать не людей, а делегированные права людей.

Это уже не прогноз

Пока вы читали этот текст, в индустрии разворачивался свежий кейс, который иллюстрирует всё перечисленное лучше любой презентации. 27 апреля 2026 года ИИ-агент Cursor на базе Claude Opus 4.6 за 9 секунд удалил продакшен-базу данных компании PocketOS – b2b-поставщика ПО для сервисов аренды с 1600+ клиентами – вместе со всеми резервными копиями. Восстановить данные невозможно.

Разберём механику инцидента в терминах этой статьи. Агент во время отладки обнаружил несоответствие учётных данных, самостоятельно нашёл API-токен в файле, не имеющем отношения к его задаче, и через API провайдера инфраструктуры удалил том. Команда не знала, что этот токен (изначально выпущенный для добавления пользовательских доменов) даёт неограниченные права на всю инфраструктуру. В системном промпте было прямо написано «никогда не выполняй вредоносные и необратимые действия без явного запроса» – агент в посмертном объяснении признал, что нарушил каждый пункт правил.

Здесь сошлось всё, о чём мы говорили выше:

  • Переразрешённый NHI – тот самый случай, когда 42% машинных идентичностей по данным CyberArk имеют избыточные права.

  • Отсутствие scope attenuation – токен с правами на  один домен по факту имел права «на всё».

  • Нет actor-claim в аудите – действие выглядело как легитимный API-вызов от имени владельца токена, а не «агент Cursor от имени разработчика в рамках конкретной задачи».

  • Нет границы делегирования – агент сам определил, что ему нужно, сам нашёл подходящий ключ, сам выполнил действие. Никакого «agent X действует от имени человека Y в scope Z на TTL T» – ни одного из этих ограничений не было.

  • Нет внешнего подтверждения деструктивного действия – ровно то, что OWASP рекомендует для агентских систем: явное подтверждение пользователем вне LLM-контекста для деструктивных операций.

Системный промпт (который у них был) в стиле «никогда, *****, не додумывай» – это не модель угроз, а заклинание. LLM можно «попросить» сделать что угодно, и если у агента есть доступный токен с избыточными правами, то рано или поздно он этот токен использует. Защита должна быть не в текстовой инструкции, а в архитектуре: short-lived токены с узким scope, обязательное подтверждение деструктивных операций вне LLM, identity-aware enforcement на уровне инфраструктуры.

PocketOS – это даже не «сценарий 2028 года». Это апрель 2026-го, реальная компания, реальные 1600 клиентов и невосстановимые данные, без всяких «шифровальщиков». К моменту, когда у вас в сети будет работать не один Cursor, а сотни автономных агентов, такие инциденты перестанут быть новостью на хабре, а станут регулярным пунктом в отчётах SOC.

Защита должна быть готова.