Всю свою карьеру я пробирался сквозь лабиринты информационной безопасности, переходя от углубленных технических аудитов к критически важной работе в области управления, рисков и соответствия требованиям генеративного ИИ (GRC). За всё это время я усвоил одну непреложную истину: каждое серьёзное изменение парадигмы в технологиях влечет за собой соответствующее изменение стратегии атак. Последние десять лет мы полагались на обучение и технологии безопасности для защиты от фишинга. Сегодня я стою здесь, чтобы заявить вам, что эта эпоха закончилась. В тот момент, когда мы успешно обучили наших коллег выявлять некачественные электронные письма, злоумышленники полностью усовершенствовали свои операционные возможности. Сейчас передо мной каждый день встаёт животрепещущий вопрос: как защититься от существа, которое действует с планомерностью, упорством и психологической глубиной, свойственной целенаправленному человеческому источнику угрозы, но при этом действует с машинной скоростью и масштабом? В этом и заключается основная проблема, которую представляет собой агентный ИИ. В этой статье я хочу объяснить, почему агентный ИИ — это мощное оружие, использующее человеческий фактор, выходя далеко за рамки простого фишинга и превращаясь в тонкую манипуляцию. Я поделюсь своими мыслями о том, как эта технология фундаментально меняет цепочку киберуничтожения, опираясь на свой опыт работы в GRC, чтобы проиллюстрировать критические сбои в наших текущих стратегиях управления рисками и обеспечения операционной устойчивости третьих лиц. Для любого разработчика, инженера или специалиста по безопасности, читающего эту статью, понимание этого изменения — не просто выбор; это новый базовый уровень выживания. Определение агента: не степень магистра права вашего деда Когда большинство специалистов в отрасли обсуждают ИИ в контексте кибератак, они по-прежнему представляют себе большие языковые модели (LLM), генерирующие контекстно безупречные фишинговые письма. Это, безусловно, серьёзная угроза, но по сути своей она пассивна. Злоумышленнику по-прежнему нужен человек (или скрипт) для управления кампанией, анализа ответов и принятия решений о следующем шаге. Агентный ИИ — это нечто иное. Я определяю его как систему, построенную на основе LLM, дополненную способностью рассуждать, планировать, выполнять действия во внешнем цифровом мире и, что особенно важно, самокорректироваться на основе обратной связи. Думайте о нём не как об инструменте, а как об автономной программной сущности. Агент определяет цель, например, кражу конфиденциальных данных клиентов, а затем генерирует многоэтапный план: найти цель, собрать разведданные, проверить уязвимости, создать эксплойт и управлять вторжением. Если Шаг 3 не удаётся, агент не останавливается; он меняет маршрут, обучается и пробует новый подход. Ключевое отличие, которое я анализирую в своей работе по GRC, — это автономность. Агентный ИИ может тратить недели или месяцы на непрерывную скрытую разведку, адаптируя тактику социальной инженерии в режиме реального времени, пока не найдёт необходимое слабое звено, и этим звеном почти всегда оказывается человек. Новая цепочка убийств: масштабная психологическая оптимизация Традиционная цепочка кибератак предполагает длительную последовательность событий, предоставляя нам окна возможностей для обнаружения и нейтрализации угроз. Агентный ИИ сокращает эти окна практически до нуля. Я вижу, что самое опасное ускорение происходит на начальных этапах: разведка и вооружение. Годами я проповедовал важность ограничения утечки информации. Теперь агентный ИИ может выполнять работу двадцати опытных аналитиков за считанные минуты, синтезируя данные из социальных сетей, общедоступных записей и форумов даркнета. Он не просто находит имя и должность сотрудника, но и составляет карту его отношений, последних проектов, уровня владения техническим языком и даже эмоционального состояния на основе публичных сообщений. Когда дело доходит до социальной инженерии, агент оптимизирует работу с учётом психологических уязвимостей. Традиционный фишинг — это операция «распыли и моли», рассчитанная на то, чтобы поймать несколько лёгких плодов. Агентский ИИ создаёт гиперперсонализированный нарратив. Он точно знает, какой проект я сейчас веду, с каким сторонним поставщиком я больше всего сотрудничаю и кому из своих коллег я безоговорочно доверяю. Он может генерировать сообщения, идеально имитирующие тон, интонацию и внутренний жаргон доверенного лица, используя моё человеческое доверие для обхода уровней технической безопасности. Эта способность — не просто угроза; это серьёзный вызов самой концепции «человеческого файрвола». Моя битва на периметре: сторонний вектор В моей нынешней роли управление рисками, связанными со сторонними организациями, имеет первостепенное значение. Я всегда понимал, что моя система безопасности настолько надежна, насколько надежен мой самый слабый поставщик. Но Agentic AI превращает это общеизвестное знание в катастрофическое событие. Недавно я смоделировал сценарий атаки, который наглядно показал мне степень опасности. Я сосредоточился на поставщике управляемых услуг (MSP), который занимается мониторингом нашей облачной среды — надёжном и долгосрочном партнёре. Я разработал агентский ИИ для атаки на этого конкретного поставщика, не с помощью массовых рассылок, а с помощью сложной кампании социальной инженерии, направленной на одного из его младших инженеров, у которого, как я знал, был административный доступ. Агент потратил неделю на создание фальшивого цифрового образа. Он создал очень подробный профиль нового воображаемого клиента, у которого с инженером-целью были общие технические интересы. Когда агент наконец связался с ним, это был не запрос на учетные данные, а сложно звучащий запрос в службу поддержки, связанный с уязвимым API партнёра, используемым MSP. Общение было безупречным: корректное использование технической терминологии, вежливая срочность и, казалось бы, легитимный, но вредоносный фрагмент кода для «отладки» предполагаемой проблемы API. Инженер, доверяя тому, кого он воспринимал как надёжного коллегу, ищущего техническую помощь по знакомому API, выполнил код. То, что произошло дальше, было пугающим: агент автоматически переключился, используя скомпрометированные учётные данные, установил персистентность и начал картографировать мою сеть, и всё это в течение двадцати минут после первого взаимодействия с человеком. Я осознал глубинный сдвиг: агенту не нужна была уязвимость в моей системе для осуществления взлома; он воспользовался уязвимостью в моей системе доверия и процессе аутентификации API. Моя система GRC была разработана для проверки политик поставщика, а не для немедленных решений, принимаемых человеком под давлением убедительных аргументов, выдвинутых автономным цифровым хищником. Когда цифровые технологии встречаются с физическими: атака на операционную устойчивость С моей точки зрения, как специалиста по GRC и операционной устойчивости, самым тревожным аспектом является способность агента координировать многовекторные атаки, преодолевая разрыв между ИТ и операционными технологиями (ОТ). Эта способность переводит угрозу от потери данных к физическому сбою и потенциальному финансовому параличу. Я часто думаю о логистических операциях в цепочке поставок, которые я помог обеспечить. Представьте себе агентского ИИ, заранее запрограммированного на серьезную остановку цепочки поставок для критически важного производственного процесса. Сначала агент целенаправленно проникает в ИТ-сеть производителя (исходный домен). Оказавшись внутри, он автономно анализирует коммуникационный поток между ИТ-системой и ОТ-средой, включая серверы планирования производства, системы управления запасами и логистические платформы. Одновременно агент инициирует вторичную, не связанную с основной задачей кампанию социальной инженерии против доверенного стороннего логистического провайдера (3PL). Он рассылает менеджеру по дистрибуции 3PL крайне конкретные, срочные электронные письма, используя тон внутренней управленческой срочности, который я бесчисленное количество раз видел в кризисных ситуациях, вынуждая их преждевременно приостанавливать поставки из-за фиктивного «контрольного аудита». Результатом становится захват в клещи. Агенту в ИТ-сети не нужно выполнять деструктивную полезную нагрузку OT; он просто создаёт хаос в данных: искажает данные инвентаризации, корректирует производственные графики по минутам и создаёт фантомные заказы. В сочетании с реальной остановкой поставок со стороны 3PL, инициированной человеком, нарушение работы системы становится окончательным. Мне придётся иметь дело не просто с утечкой данных, а с полномасштабным операционным крахом, первопричины которого будут распределены между двумя доверенными организациями и одним автономным ИИ. Моя немедленная реакция оперативной устойчивости будет подавлена сложностью и чёткой координацией атаки, которую я мог бы охарактеризовать только как стратегический подход военного уровня. Изменение парадигмы защиты: от межсетевого экрана к фреймворку Я считаю, что наша нынешняя одержимость техническим контролем, хотя и необходимая, отошла на второй план по сравнению с острой необходимостью в надёжной системе управления ИИ и рисками. Технические решения слишком медленные, чтобы успевать за агентом, способным динамически переписывать собственную цепочку эксплойтов. Моя работа в GenAI GRC убедила меня в том, что защита должна начинаться с радикального переосмысления концепции «человеческого файрвола». Мы не можем полностью исключить способность человека к ошибкам, эмпатии или усталости. Вместо этого я выступаю за фреймворки, которые внедряют «контрагенты» на базе ИИ в наши GRC и системы мониторинга. Эти контрагенты должны быть обучены не только обнаруживать известные вредоносные шаблоны, но и определять намерения и автономность поведения противоборствующего агента. Я говорю об обнаружении поведенческих аномалий в режиме реального времени во всех взаимодействиях со сторонними API и немедленном автоматизированном применении политик, которые замораживают критически важные процессы, когда человеческое решение, каким бы законным оно ни казалось, нарушает заранее определённый шаблон риска, установленный нашими правилами GRC. Это означает отказ от механизмов аутентификации, основанных на человеческой проверке, и переход к системам с нулевым доверием, которые проверяют каждый вызов API и действие пользователя на основе машинного контекста, а не только на основе человеческого происхождения. Автономный противник требует автономной обороны Эпоха простого фишинга прошла. Я вижу будущее, в котором сложные автономные системы ИИ-агентов постоянно проверяют нашу защиту, используя те самые ценные человеческие качества, которые мы ценим: доверие, скорость и эффективность. Мой опыт управления рисками в этих меняющихся условиях показал, что пассивной защиты и обучения людей уже недостаточно. Автономному противнику требуется столь же интеллектуальная автономная защита. Бремя ответственности теперь ложится на технологическое сообщество, которое должно создавать системы, не просто безопасные, но и устойчивые по своей сути: системы, в которых GRC — не второстепенная задача, а основная операционная логика. Я призываю всех, кто разрабатывает программное обеспечение следующего поколения, встраивать управление и контроль рисков непосредственно в архитектуру кода. Если мы этого не сделаем, мы отдадим ключи от наших цифровых королевств самым изощрённым, неутомимым и адаптивным противникам, которых когда-либо знал мир. Это вызов, который мы можем и должны принять лицом к лицу.
