ИИ-агенты получили слишком много доступа — а правил для этого ещё нет

Агенты везде — а правил нет

ИИ-агенты тихо стали самым привилегированным программным обеспечением в корпоративных инфраструктурах. Они подключены к базам данных, CRM-системам, инструментам мониторинга и внутренним API. И при этом отрасль честно признаёт: единого стандарта безопасности для них не существует. Именно об этом говорили на конференции VentureBeat AI Impact Series руководители Zendesk и Resolve AI.

Что такое MCP и почему он усугубляет проблему

Model Context Protocol (MCP) — это протокол, который упрощает интеграцию агентов с различными инструментами и источниками данных. Звучит хорошо: меньше сложности при подключении. Но у этого удобства есть цена.

По словам Спироса Ксантоса, основателя Resolve AI, MCP-серверы «крайне разрешительны» — они дают агентам доступ, который контролируется хуже, чем обычные API. Традиционные API хотя бы имеют встроенные ограничения и механизмы авторизации. MCP пока что нет.

Кто виноват, когда агент ошибается?

Джон Аниано, старший вице-президент Zendesk, поднял вопрос, который большинство компаний предпочитают не замечать: кто несёт ответственность, когда ИИ неправильно аутентифицирует пользователя или совершает ошибочное действие?

Сценарий выглядит так: человек разговаривает с оператором поддержки, тот консультируется с ИИ-агентом, агент выполняет действие. Аудиторский след в такой цепочке превращается в лабиринт. А если агентов в системе сотни — у каждого своя идентичность, свои права доступа — это становится «очень сложной матрицей», как выразился Ксантос.

Что происходит сейчас

Компании пытаются управлять агентами с помощью инструментов, которые создавались для людей. Splunk, например, предлагает детализированные элементы управления доступом на уровне индексов — их можно адаптировать для агентов. Zendesk использует подход с декларативно спроектированными вызовами API и строгими ограничениями области доступа.

• Агенты пишут код — допустимо при определённых условиях
• Агенты выполняют команды на серверах — пока под запретом
• Агенты обрабатывают аутентификацию — вызывает наибольшие опасения

Особенно тревожны сценарии, когда агент берёт на себя функции аутентификации — обрабатывает одноразовые пароли или SMS-коды. Ошибка здесь может привести к утечке данных или открыть дверь злоумышленникам.

Куда движется отрасль

Resolve AI уже работает над концепцией «постоянной авторизации» — когда агентам заранее даётся разрешение на определённый класс действий без необходимости подтверждать каждый шаг. Начать планируют с относительно безопасных сценариев вроде разработки кода, постепенно расширяя область.

Но даже самые оптимистичные участники рынка признают: всегда будут ситуации, где ИИ-ошибка может «изменить состояние производственной системы» — и для таких случаев человек в контуре необходим.

Мнение редакции

Мы стремительно входим в эпоху, когда ИИ-агенты действуют от нашего имени в системах с реальными последствиями. И делаем это без согласованных стандартов, без чётких правил ответственности, без проверенных инструментов безопасности.

Хорошая новость: крупные игроки — Zendesk, Resolve AI и другие — начали говорить об этом вслух. Признание проблемы — это уже половина решения. Плохая новость: агенты распространяются быстрее, чем успевают появляться правила для них. «Дикий Запад» — это не преувеличение. Это диагноз момента.