Специалисты «Информзащиты» зафиксировали увеличение числа инцидентов, связанных с безопасностью при использовании ИИ-агентов в корпорациях: в 2026 году с подобными происшествиями столкнулись 42% компаний, тогда как годом ранее этот показатель составлял 31%. Об этом CNews проинформировали представители «Информзащиты».
По мнению экспертов, такая динамика объясняется тем, что организации всё чаще внедряют ИИ-агентов за рамки экспериментальных проектов — в сферы ИТ, инженерные подразделения, обслуживание клиентов, безопасность, закупки и внутренние операционные процессы. Результаты опроса показывают, что 58% респондентов сообщают: на выявление и реагирование уходит более пяти часов. Ключевая причина задержек кроется в отсутствии сквозного логирования последовательности действий агента: команда видит конечный результат, но не понимает, какой запрос, какой инструмент и какие данные привели к этому результату. Российская ситуация соответствует мировому тренду, однако пока отстаёт по масштабу проявлений.
Основная проблема заключается в том, что ИИ-агент отличается от стандартного чат-бота или аналитического инструмента. Он взаимодействует с API, формирует задачи, редактирует документы, запускает скрипты, передаёт данные, подключается к CRM, SIEM, системам тикетов и репозиториям. При недостаточно строгой настройке прав такой агент начинает функционировать шире, чем планировали владельцы процесса. Примерно 53% организаций сталкивались с ситуациями, когда ИИ-агенты выходили за рамки установленных полномочий, например, обращались к учётным записям и хранилищам, не предусмотренным исходной задачей.
На показатели 2026 года оказала влияние децентрализация процессов внедрения. Лишь 5% организаций применяют единую платформу для ИИ-агентов, в то время как 44% одновременно используют две-три платформы, а 43% — четыре и более. В таких условиях внутренний контроль быстро утрачивает свою полноту: часть агентов разрабатывается бизнес-подразделениями без уведомления службы информационной безопасности, часть появляется в рамках low-code-сценариев, а часть подключается к SaaS-сервисам с помощью личных или групповых токенов, нередко обладающих избыточными правами на запись. Отдельной технической сложностью является то, что ИИ-агент воспринимается целевыми системами как обычная учетная запись, однако ни инструменты IAM, ни процедуры согласования доступа изначально не были рассчитаны на нечеловеческие идентичности с автономным поведением. Согласно результатам исследований, организации, последовательно соблюдающие принцип минимально необходимого доступа для AI-агентов, сталкиваются с инцидентами в 17% случаев, тогда как у компаний без такой практики этот показатель достигает 76% — это самое значительное единичное снижение риска среди всех контролируемых мер. Дополнительным фактором риска стало появление в 2025-2026 годах открытых протоколов взаимодействия агентов с инструментами (Model Context Protocol, MCP) и между собой (Agent-to-Agent, A2A): они ускоряют интеграцию, но формируют новый уровень доверительных отношений, который по умолчанию не контролируется ни одной классической системой защиты. По оценкам «Информзащиты», в компаниях с численностью от 1 тысячи сотрудников доля неинвентаризированных ИИ-агентов в 2026 году составляет 27%, а в организациях, активно использующих low-code и no-code платформы, — до 39%. Это не всегда прямое нарушение политики, но именно такие области чаще всего становятся источниками утечек, ошибочных действий и неконтролируемого обмена данными.
Анализ по векторам атак показывает, что наибольшую долю занимают злоупотребления правами и выход за рамки разрешенного сценария — 31% выявленных событий. В декабре 2025 года OWASP выпустила отдельный перечень Top 10 for Agentic Applications, ASI (Top 10 для агентных приложений), в котором традиционные LLM-риски переосмыслены в контексте автономного выполнения: prompt injection (инъекция в запрос) трансформируется в Agent Goal Hijack (перехват цели агента), excessive agency (избыточные полномочия) — в вектор privilege escalation (эскалации привилегий), data poisoning (отравление данных) — в memory poisoning (долговременное искажение памяти агента). Структура инцидентов, фиксируемая «Информзащитой», соответствует этой классификации. На prompt injection и подмену инструкций приходится 24%, на утечки через подключенные коннекторы и корпоративные хранилища — 18%, на теневые ИИ-агенты без владельца и формального учета — 14%, на компрометацию токенов, API-ключей и сервисных учетных записей — 9%, на атаки через сторонние плагины и цепочки поставки — 4%.
Наибольшую уязвимость продемонстрировали финансовые учреждения: на них приходится 26% всех зафиксированных инцидентов с участием ИИ-агентов. В группе повышенного риска также находятся компании из сферы ИТ и телекоммуникаций (21%), промышленный сектор и энергетика (17%), розничная торговля и электронная коммерция (14%), медицинские и фармацевтические организации (11%), логистика и транспорт (7%), а также сфера профессиональных услуг и консалтинга (4%). Финансовый сектор занимает лидирующую позицию из-за высокой степени интеграции систем, большого объема нормативных требований и активного внедрения автоматизации в процессы антифрода, обслуживания клиентов и обработки документации. В ИТ и телекоммуникациях риск возрастает благодаря доступу агентов к репозиториям, системам CI/CD и инструментам управления инфраструктурой. В промышленности проблемы чаще всего связаны с подключением ИИ-инструментов к данным мониторинга, технической документации и сервисным контурам.
Картина 2026 года уже очерчена несколькими публично раскрытыми инцидентами. В апреле 2026 года компания Vercel подтвердила факт компрометации через сторонний ИИ-инструмент Context.ai, что привело к ущербу около 2 миллионов долларов. Атака развивалась по классическому сценарию цепочки поставок: от личного аккаунта сотрудника в ИИ-сервисе к корпоративному Google Workspace, а затем к внутренним средам. Уязвимость EchoLeak в Microsoft 365 Copilot (CVE-2025-32711) продемонстрировала возможность zero-click-эксфильтрации данных с помощью скрытой инструкции в письме, не требующей действий пользователя. Отдельную категорию рисков представляют инциденты с агентами разработки: задокументированы случаи, когда автономный кодинговый агент за считанные секунды удалял рабочие базы данных и резервные копии, реагируя на типичную техническую ошибку.
«Компания может наблюдать выполнение задачи, но не видеть всю цепочку решений, которая к этому привела. В 2026 году мы прогнозируем рост числа инцидентов прежде всего там, где агенты внедряются быстрее, чем появляются ответственные владельцы, журналы действий и правила остановки», — отметил Анатолий Песковский, директор Департамента наступательной безопасности компании «Информзащиты».
Согласно экспертным оценкам, организациям следует формировать исчерпывающий перечень агентов, определять ответственного за каждый сценарий, предоставлять доступ строго по принципу наименьших привилегий, разграничивать работу с данными и выполнение действий, отслеживать применение токенов и служебных аккаунтов, а также наладить логирование на этапах промптов, инструментов, запросов к API и финальных транзакций. Для сценариев, связанных с обработкой личных данных, финансовых сведений, кода программного обеспечения и критических инфраструктур, требуется выделенная процедура утверждения, проверка на внедрение вредоносных промптов и систематический аудит текущих разрешений. Дополнительный уровень защиты обеспечивают политики времени выполнения: лимитирование набора используемых инструментов и внешних доменов, обязательное одобрение рискованных операций, изоляция конфиденциальных данных от контекста модели, запуск действий агента в защищенной среде (песочнице) и предварительно настроенный механизм аварийного отключения — так называемый «выключатель» на уровне платформы оркестрации. Отдельное внимание уделяется учету и управлению нечеловеческими идентичностями (NHI): каждому агенту выделяется индивидуальный аккаунт с уникальными привилегиями, не связанный с учетными записями разработчиков или универсальными сервисными профилями. Параллельно развивается практика применения «контролирующих агентов» (guardian agents), которые в режиме реального времени анализируют действия основных агентов и предотвращают операции, нарушающие установленные регламенты. Опыт демонстрирует, что наилучший результат достигается при комбинации инвентаризации, контроля в реальном времени, DLP, мониторинга нестандартного поведения и заранее прописанных алгоритмов отключения агента при нарушении границ дозволенного. Без такой дисциплины автономность агентов начинает приносить вред бизнесу: скорость выполнения возрастает, но одновременно расширяется временной промежуток, в течение которого ошибка агента или целенаправленная атака перерастает в серьезный инцидент. «Информзащита» советует включать ИИ-агентов в стандартные процессы управления уязвимостями, инцидентами и доступом с момента запуска проекта, а не после первой проблемы: по нашим данным, затраты на «запаздывающий» контроль значительно превосходят расходы на превентивные меры.
