В сентябре 2025 года Anthropic публично сообщила о кибершпионской кампании, в которой государственный атакующий использовал AI‑агента для автономного проведения операции против 30 глобальных целей. По оценке компании, искусственный интеллект выполнял 80–90% тактических действий самостоятельно: проводил разведку, писал эксплойты и выполнял горизонтальное перемещение по сетям с машинной скоростью. Этот инцидент показал: злоумышленники уже перешли от точечного применения ИИ к полностью автоматизированным атакам.
Почему классическая kill chain перестаёт работать с AI‑агентами
Традиционная модель cyber kill chain, предложенная Lockheed Martin в 2011 году, исходит из предположения, что атакующий последовательно проходит этапы — от первичного доступа до достижения цели. На каждом шаге у защитников есть шанс обнаружить аномалию: антивирус и EDR фиксируют загрузку вредоносного кода, сетевой мониторинг ловит необычное перемещение, системы управления доступом — эскалацию привилегий, а SIEM коррелирует разрозненные события.
Даже продвинутые группы вроде LUCR‑3 или APT29, которые тщательно скрываются, оставляют артефакты: необычные геолокации входов, нетипичные временные паттерны, отличия от поведенческих базовых линий. Современные системы детектирования строятся именно вокруг поиска подобных отклонений.
AI‑агенты выбиваются из этой логики. Они изначально работают поперёк множества систем, обмениваются данными между приложениями и функционируют непрерывно. Если такой агент оказывается скомпрометирован, атакующему уже не нужно «пробираться» по kill chain — сама сущность агента становится непрерывной цепочкой атаки.
AI‑агенты в SaaS: легитимный доступ как идеальное прикрытие
Типичный корпоративный AI‑агент имеет широкий, зачастую избыточный, уровень доступа. Для выполнения задач автоматизации ему дают разрешения на интеграцию с CRM (например, Salesforce), корпоративными мессенджерами (Slack), облачными хранилищами (Google Drive), ITSM‑системами (ServiceNow) и другими SaaS‑сервисами. История его действий фактически представляет собой точную карту, где и какие данные находятся.
При компрометации такого агента злоумышленник мгновенно наследует всё: права, токены, интеграции, доверенные каналы обмена данными и «право на существование» в инфраструктуре. Действия по перемещению и копированию данных выглядят как часть штатного бизнес‑процесса, а не как вторжение. Каждое звено классической kill chain, которое команды безопасности привыкли отслеживать годами, пропускается по умолчанию.
Кейс OpenClaw: что показывает первый крупный кризис AI‑агентов
Кризис OpenClaw наглядно продемонстрировал масштаб риска. Анализ показал, что около 12% «скиллов» на публичном маркетплейсе платформы были вредоносными. Критическая уязвимость удалённого выполнения кода (RCE) позволяла скомпрометировать инстанс одним кликом, а более 21 000 экземпляров агентов были открыто доступны из интернета.
Наиболее опасным оказалось не столько само проникновение, сколько объём легитимного доступа, который получал злоумышленник при взломе агента, уже подключённого к Slack и Google Workspace. Такой агент видел сообщения, файлы, письма и документы и обладал устойчивой памятью между сессиями. То, что традиционно считается «последними этапами удачной атаки» (доступ к чувствительным данным), здесь было стартовой точкой.
Почему привычные средства защиты слепы к атакам через AI‑агентов
Большинство инструментов кибербезопасности ориентированы на поиск аномалий. Но когда атакующий «ездит» на уже существующем рабочем процессе AI‑агента, почти всё выглядит нормально: обращение к тем же SaaS‑сервисам, те же временные окна активности, тот же объём перемещения данных. В результате возникает существенный разрыв в видимости: поведение агента легитимно с точки зрения бизнес‑логики и потому не попадает под типичные сигнатуры и правила корреляции.
Shadow AI и размывание периметра ответственности
Отдельную проблему создаёт так называемый shadow AI — AI‑агенты и интеграции, подключённые пользователями без участия ИТ‑службы. Такие решения напрямую связывают корпоративные данные с внешними AI‑платформами по API, OAuth или через протоколы вроде MCP (Model Context Protocol), формируя «токсичные» связки между системами, которые по отдельности выглядят относительно безопасными.
Подход Reco: инвентаризация, контекст прав и поведенческий анализ AI‑агентов
Первый шаг защиты — полная инвентаризация AI‑агентов в SaaS‑среде, включая встроенные AI‑функции и сторонние интеграции, появившиеся без одобрения ИБ. Решение Reco Agentic AI Security автоматически обнаруживает такие сущности и строит карту, какие SaaS‑приложения к ним привязаны, какие разрешения они имеют и к каким данным реально получают доступ.
Визуализация SaaS‑to‑SaaS в Reco показывает, как AI‑агенты объединяют системы через MCP, OAuth или прямые API‑интеграции. Это позволяет выявлять опасные комбинации прав, при которых ни один владелец отдельного приложения формально не выдавал критически избыточные привилегии, но в совокупности цепочка интеграций создаёт серьёзный риск.
На следующем этапе Reco оценивает каждый агент по набору критериев: широта прав, кросс‑системный доступ, чувствительность обрабатываемых данных. Агенты с повышенным риском автоматически помечаются, после чего через механизмы identity and access governance можно «поджать» уровни доступа и внедрить принцип наименьших привилегий, резко снижая потенциальный ущерб при компрометации.
Отдельно работает движок поведенческого анализа угроз Reco, применяющий identity‑centric подход не только к людям, но и к AI‑агентам. Он различает нормальную автоматизацию и подозрительные отклонения в режиме реального времени, что позволяет фиксировать атаки, даже если они маскируются под привычные процессы.
Модель kill chain исходила из того, что злоумышленник должен «зарабатывать» каждый новый шаг доступа. Эпоха AI‑агентов меняет правило игры: один скомпрометированный агент может дать полный, формально легитимный доступ к критичным данным без единого шага, похожего на взлом. Организации, ориентирующие мониторинг только на поведение человеческих пользователей, рискуют попросту не увидеть новую волну атак. Чем раньше в компании появится сквозная видимость AI‑агентов в SaaS‑экосистеме, их прав и реального поведения, тем выше шансы обнаружить атаку до того, как она превратится в инцидент уровня OpenClaw. Инструменты класса Reco позволяют получить такую видимость за минуты — это разумная отправная точка для любой стратегии безопасности искусственного интеллекта.
