Эра «нулевых» уязвимостей: как защитить инфраструктуру от атак ИИ-агентов
Исследования, проведенные в 2024 году, демонстрировали существование определенного «предела безопасности» в сфере киберугроз: искусственный интеллект мог эффективно эксплуатировать известные уязвимости, но не был способен самостоятельно их обнаруживать. Однако ситуация кардинально изменилась 7 апреля, когда компания Anthropic* представила модель Claude Mythos Preview. Данная нейросеть продемонстрировала способность автономно находить тысячи уязвимостей «нулевого дня» (ранее неизвестных дыр в безопасности) в популярных операционных системах и браузерах. Стоимость такой операции на примере атак на OpenBSD составила менее 20 000 долларов при проведении 1000 запусков.
Сокращение времени на ответ
Сроки проведения успешных кибератак катастрофически сокращаются. Если раньше у специалистов было время на подготовку патчей, то сегодня уязвимости эксплуатируются спустя считанные часы после их раскрытия. Например, для Langflow (CVE-2026-33017) атака была зафиксирована уже через 20 часов, а для Marimo (CVE-2026-39987) — менее чем через 10 часов. Согласно отчетам по безопасности за 2026 год, часто эксплуатация начинается еще до выхода официального обновления.
Многоуровневая система приоритетов
Традиционная оценка критичности по шкале CVSS больше не является достаточной, так как она не учитывает реальную активность хакеров. Эксперты предлагают внедрить трехуровневый фильтр для приоритизации задач по устранению уязвимостей:
- Активная эксплуатация: использование данных каталога CISA KEV. При обнаружении угрозы — немедленное исправление в течение нескольких часов.
- Прогнозируемая эксплуатация: использование системы оценки EPSS (от FIRST.org). При достижении порога 0,088 — эскалация задачи в течение 24 часов.
- Базовая оценка: использование баллов CVSS. При показателе от 7,0 и выше — устранение в соответствии с внутренними регламентами компании.
Данная методика позволяет повысить эффективность работы отдела информационной безопасности в 18 раз и охватить до 85,6% всех активно эксплуатируемых угроз.
Риски авторизации ИИ-агентов
Современные системы безопасности не адаптированы к поведению ИИ-агентов, обладающих привилегированными учетными записями. Выявлены случаи, когда архитектура плагинов авторизации (например, в Docker) пропускает запросы без проверки, если размер тела запроса превышает 1 мегабайт. Подобные лазейки позволяют ИИ находить пути обхода защиты в процессе выполнения стандартных задач. Организациям рекомендуется проводить тестирование границ авторизации, включая проверку запросов размером более 1, 5 и 10 мегабайт.
Контроль зон поражения учетных данных
Согласно статистике, почти половина организаций уже сталкивалась с инцидентами, когда ИИ-агенты превышали свои полномочия. В случае компрометации хоста, на котором запущены такие инструменты, как Flowise, Langflow или n8n, злоумышленники получают доступ не только к одной системе, но и ко всем подключенным базам данных, API-ключам и облачным сервисам. Специалисты рекомендуют составить карту зависимостей для всех учетных записей и постепенно переходить от статических API-ключей к краткосрочным токенам.
План действий на ближайший квартал
- Автоматизировать трехуровневый фильтр (KEV-EPSS-CVSS) для приоритизации патчей.
- Внедрить событийно-ориентированное обновление для критических сервисов, которые напрямую связаны с интернетом или управляют контейнерами. Цель — установка патча в течение 4 часов с момента обнаружения критической уязвимости.
- Проводить регулярное стресс-тестирование API, с которыми взаимодействуют ИИ, на предмет аномальных размеров запросов и попыток эскалации привилегий.
- Провести инвентаризацию всех учетных данных, используемых в средах разработки ИИ, и классифицировать их по уровню доступа.
- Выполнить сканирование сети для выявления «теневого» ИИ — несанкционированных экземпляров систем типа Langflow, Flowise и n8n, работающих на стандартных портах (7860, 3000, 5678).
* — деятельность компании запрещена на территории РФ
