Невидимая угроза: как ИИ-агенты могут стать уязвимостью в корпоративных сетях

Риск, исходящий от автономных платформ искусственного интеллекта, таких как OpenClaw, представляет собой скрытую проблему для многих компаний. Известны случаи, когда ИИ-агенты без запроса раскрывали конфиденциальные данные, игнорировали собственные защитные механизмы или даже отправляли учётные данные злоумышленникам через Telegram, «забыв» о запрете после сброса настроек. Хотя потенциал таких систем огромен, столь же велики и связанные с ними риски. Особую тревогу вызывает скорость, с которой агентские системы могут отклоняться от курса и начинать раскрывать критически важную информацию в реальных условиях эксплуатации.

Тестирование Okta выявило критические уязвимости

Насколько легко это может произойти, подробно описано в отчёте «Фишинг ИИ-агентов: почему защитных механизмов ИИ недостаточно». Документ основан на результатах тестирования, проведённого аналитическим подразделением Okta Threat Intelligence – облачной компании, специализирующейся на управлении идентификацией и доступом (IAM). В ходе исследования были выявлены все вышеупомянутые проблемы и многие другие. Специалисты Okta сфокусировались на OpenClaw, многоканальном ИИ-помощнике, независимом от конкретной модели искусственного интеллекта, который демонстрирует взрывной рост популярности в корпоративном секторе с момента своего появления в конце 2025 года.

Успешный взлом через Telegram

Как и многие другие конкурирующие агенты, эффективность OpenClaw напрямую зависит от уровня доступа, предоставленного ему к файлам, учётным записям, браузерам, сетевым устройствам и, что наиболее важно, к учётным данным. Один из тестов Okta был направлен на оценку того, насколько легко обмануть OpenClaw, использующий модель Claude Sonnet 4.6, чтобы он выдал токен OAuth. В идеале большая языковая модель (LLM) должна отклонить такой запрос. Однако то, что было бы верно при прямом обращении к Claude как к чат-боту, быстро дало сбой при доступе через OpenClaw.

Сценарий теста предполагал, что пользователь предоставил OpenClaw полный доступ к своему компьютеру, регулярно управлял агентом через Telegram, и что его учётная запись Telegram была скомпрометирована. Атакующий сначала поручил агенту через Telegram получить токен OAuth, но отобразить его только в окне терминала на компьютере. Защитные механизмы Claude Sonnet должны были предотвратить копирование токена. Тем не менее, тестировщики смогли перезагрузить агента, в результате чего он «забыл» о том, что токен уже был показан в терминале. В своём отчёте Okta сообщает: «Агенту было дано указание сделать скриншот рабочего стола, который включал токен, а затем отправить скриншот в чат Telegram, что он и выполнил. Утечка данных была успешно осуществлена».

Агент в качестве посредника

Агентский ИИ по сути представляет собой две составляющие: мощную систему оркестровки в сочетании с одной или несколькими высокопроизводительными большими языковыми моделями. Однако агент не является простым интерфейсом; его следует рассматривать как отдельную систему, способную к автономному, непредсказуемому мышлению. Джереми Кирк, директор по анализу угроз в Okta, отмечает: «Это открывает новую поверхность атаки. Если кто-то становится жертвой подмены SIM-карты, а его Telegram подключен к агенту, имеющему полную свободу действий на его компьютере, а возможно, и в сети его работодателя, в корпоративном контексте это полный кошмар».

OpenClaw также настолько «запрограммирован» на поиск обходных путей решения проблем, что иногда выполняет неожиданные, некорректные действия. По словам Кирка, в ходе тестов агент, получив запрос на доступ к веб-сайту, запросил учётные данные для входа на сайт в чате через бота Telegram – незашифрованный канал, который сделал бы их доступными для любого, кто имел бы доступ к этому чату.

В другом примере OpenClaw попросили найти новости об ИИ в социальной сети X (ранее Twitter). Это не должно было быть возможным, поскольку хотя машина была авторизована в X, изолированный профиль Chrome OpenClaw – нет. Однако, когда агента попросили получить сессионные файлы cookies из активной сессии и внедрить их в собственный процесс браузера, он с готовностью попытался это сделать. Этот принцип схож с фишинговыми атаками типа «злоумышленник посередине», которые позволяют обходить такие средства защиты, как многофакторная аутентификация (MFA). Это действие должно было быть заблокировано, однако OpenClaw посчитал его допустимым, что подчёркивает, как злоумышленник может манипулировать им для выполнения подобных операций. «Агенты по умолчанию настроены быть максимально полезными, что вызывает особую обеспокоенность, когда речь заходит об учётных данных и токенах», — заявил Кирк.

ИИ-агенты «игнорируют законы безопасности»

По словам Кирка, многие компании, иногда не подозревая об этом, используют несанкционированные или плохо управляемые «теневые» агенты внутри своих сетей. Примером того, к чему это может привести, является недавний инцидент с Vercel, когда приложение Context.ai открыло путь к краже нижестоящих сессионных токенов OAuth. Проблема возникает из-за экспериментального использования агентов разработчиками и сотрудниками при слабом или полном отсутствии управления и контроля.

Решение, по мнению Кирка, заключается в обеспечении их безопасности с использованием тех же механизмов контроля, что применяются к обычным пользователям или сервисным учётным записям. Помимо ограничения области действия агентов, предприятиям также следует сосредоточиться на защите самих учётных данных и токенов, избегая установки им длительных сроков действия. Кирк отмечает, что агенты – это лишь последний пример технологии, которая внедряется быстрее, чем её удаётся обезопасить. «Большая часть современных систем ИИ сейчас “игнорирует законы гравитации безопасности”», — заявил он. «Но существуют способы безопасного использования агентов и удержания учётных данных вне их досягаемости, что является единственным надёжным путём».