У вересні 2025 року Anthropic публічно розкрила масштабну кібершпигунську кампанію: державний зловмисник використав AI‑агента для майже повністю автономної операції проти 30 глобальних цілей. За оцінкою компанії, штучний інтелект виконував 80–90% тактичних дій самостійно — від розвідки до написання експлойтів і горизонтального переміщення мережею з машинною швидкістю. Цей інцидент став показовою точкою: противник перейшов від епізодичного використання ШІ до повністю автоматизованих атак.
Як AI-агенти руйнують класичну модель cyber kill chain
Традиційна модель cyber kill chain, запропонована Lockheed Martin у 2011 році, виходила з лінійної логіки: зловмисник поетапно проходить шлях від первинного доступу до досягнення цілей. На кожному кроці захисники мають шанс виявити атаку — антивірус і EDR реагують на завантаження шкідливого коду, мережевий моніторинг помічає нетиповий трафік, системи IAM фіксують ескалацію привілеїв, а SIEM корелює розрізнені події.
Навіть добре замасковані APT‑групи на кшталт LUCR‑3 або APT29 залишають артефакти: підозрілі геолокації входів, аномальні часові патерни, відхилення від усталеної поведінки користувачів та сервісів. Саме на пошуку таких відхилень побудована більшість сучасних систем виявлення загроз.
AI‑агенти фундаментально не вписуються в цю логіку. Вони спочатку проєктуються як крос‑системні сутності, що постійно взаємодіють із різними додатками, сервісами та API. Коли такий агент скомпрометовано, зловмиснику вже не потрібно послідовно «проривати» кожен етап kill chain — сам агент перетворюється на безперервну ланку атаки, яка природно присутня в інфраструктурі й не виглядає аномально.
AI-агенти в SaaS: легітимний доступ як ідеальне прикриття атаки
Типовий корпоративний AI‑агент у середовищі SaaS отримує широкий, часто надмірний набір прав. Для автоматизації бізнес‑процесів його підключають до CRM (наприклад, Salesforce), корпоративних месенджерів (Slack), хмарних сховищ (Google Drive), ITSM‑платформ (ServiceNow) та інших сервісів. Лог дій агента фактично стає детальною картою розташування корпоративних даних і зв’язків між системами.
У разі компрометації такого агента зловмисник миттєво успадковує його привілеї, токени доступу, інтеграції та довірені канали обміну даними. Переміщення й копіювання інформації з різних SaaS‑додатків виглядає як штатна автоматизація, а не як зовнішнє вторгнення. Кожне класичне «кільце» kill chain, до якого звикли аналітики SOC, фактично пропускається за замовчуванням, оскільки доступ уже формально дозволений.
OpenClaw: перший великий кризис безпеки AI-платформ
Інцидент OpenClaw став яскравим підтвердженням масштабності нових ризиків. Після розслідування з’ясувалося, що близько 12% «скілів» на публічному маркетплейсі платформи мали шкідливий характер. Критична вразливість віддаленого виконання коду (RCE) дозволяла атакувати інстанс буквально одним кліком, а понад 21 000 екземплярів агентів були відкрито доступні з інтернету.
Найбільш небезпечним виявився не початковий злам, а обсяг легітимного доступу, який отримував зловмисник, захоплюючи агента, вже підключеного до Slack і Google Workspace. Такий агент міг читати повідомлення, файли, листи й документи та мав сталу пам’ять між сесіями. Те, що у класичних атаках є фінальною фазою (доступ до чутливих даних), тут стає стартовою точкою.
Чому традиційні засоби кіберзахисту «сліпі» до атак через AI-агентів
Більшість рішень у галузі кібербезпеки орієнтовані на виявлення аномалій — нетипового трафіку, невластивої активності користувачів, підозрілих змін конфігурацій тощо. Однак коли атакувальник «їде» всередині вже існуючого робочого процесу AI‑агента, майже все виглядає нормальним: ті самі SaaS‑сервіси, ті ж часові вікна активності, подібні обсяги операцій із даними.
У результаті формується критичний розрив у видимості: поведінка агента є легітимною з точки зору бізнес‑логіки, а отже не потрапляє під звичні сигнатури, правила кореляції та моделі поведінкового аналізу, налаштовані під людей, а не під машинних суб’єктів.
Shadow AI: приховані агенти та розмиті зони відповідальності
Додатковий вимір ризику створює shadow AI — AI‑агенти та інтеграції, які користувачі підключають самостійно, без участі ІТ‑та ІБ‑команд. Подібні рішення напряму з’єднують корпоративні дані з зовнішніми AI‑платформами через API, OAuth або протоколи на кшталт Model Context Protocol (MCP), утворюючи «токсичні зв’язки» між системами, що поодинці здаються відносно безпечними.
Reco Agentic AI Security: інвентаризація, контекст прав і поведінковий аналіз AI-агентів
Базовою передумовою захисту є повна інвентаризація AI‑агентів у SaaS‑екосистемі організації — як вбудованих AI‑функцій, так і сторонніх інтеграцій, розгорнутих без погодження з безпекою. Рішення Reco Agentic AI Security автоматично виявляє такі сутності та будує карту, які саме SaaS‑додатки до них підключені, які дозволи надані та до яких даних агент фактично має доступ.
Візуалізація SaaS‑to‑SaaS у Reco показує, як AI‑агенти «зшивають» системи через MCP, OAuth або прямі API‑інтеграції. Це дозволяє виявляти небезпечні комбінації прав, коли жоден власник окремого застосунку формально не видавав критично надмірних привілеїв, але їх сукупність у ланцюжку інтеграцій створює значний ризик витоку або ескалації доступу.
На наступному етапі Reco оцінює кожного агента за низкою критеріїв: широта привілеїв, крос‑системний доступ, чутливість оброблюваних даних, наявність стійкої пам’яті тощо. Агенти з підвищеним ризиком автоматично позначаються, після чого через механізми identity and access governance можна «обрізати» їхні права до принципу найменших привілеїв, суттєво скоротивши потенційні наслідки компрометації.
Окремо працює движок поведінкового аналізу загроз Reco, який застосовує identity‑centric‑підхід не лише до людей, а й до AI‑ідентичностей. Він розрізняє нормальну автоматизацію та підозрілі відхилення в режимі реального часу, що дозволяє фіксувати атаки навіть тоді, коли вони ретельно маскуються під звичні бізнес‑процеси.
Модель kill chain базувалася на припущенні, що зловмисник мусить «заробляти» кожен новий рівень доступу. В епоху AI‑агентів правила змінюються: одна скомпрометована машинна ідентичність може надати широкий, формально легітимний доступ до критичних даних без жодного кроку, схожого на класичний злам. Організації, які моніторять лише поведінку людських користувачів, ризикують не помітити цілу категорію нових атак. Щоб зберегти контроль, варто вже сьогодні: провести аудит AI‑агентів у своїй SaaS‑інфраструктурі, впровадити принцип найменших привілеїв для машинних облікових записів і розглянути використання рішень класу Reco для швидкого отримання наскрізної видимості. Це інвестиція, яка може стати вирішальною до того, як наступний інцидент масштабу OpenClaw переросте в повноцінну кризу безпеки.
