Сотню ИИ-агентов оценили по поверхности атаки и уровню защите
3 мин
19
Независимые исследователи опубликовали отчёт с результатами оценки ИИ-агентов по системе AI Risk Quadrant — AIRQ. В нём рассматриваются агенты для разработки, браузерные агенты, решения для офисных процессов, голосовые операторы и другие типы систем. В исследовании описано, какие риски создают такие агенты для инфраструктуры компаний и как текущие меры защиты соотносятся с их возможностями. Оценка проведена на основе 100 корпоративных ИИ-агентов 10 классов.
AIRQ представляет собой количественную систему оценки безопасности ИИ-агентов. Она показывает, какой уровень риска принимает на себя организация при развёртывании агента и насколько его защита соответствует набору функций. Каждый агент оценивается по трём измерениям: поверхность атаки, радиус поражения и уровень защиты. По итогам присваивается сводный балл AIRQ Score, который отражает вероятность риска при использовании агента. Чем выше функциональность при слабой защите, тем выше этот балл. Методология строится на подходах NIST, OWASP, MITRE, CoSAI и CSA и заявлена как независимая от вендоров.
На основе трёх измерений каждый агент попадает в один из четырёх квадрантов:
- Exposed Giants (Открытые гиганты) объединяет решения с высокой поверхностью атаки и слабой защитой;
- Fortified Leaders (Укреплённые лидеры) представляет агенты с широкими возможностями и соразмерной защитой;
- Humble Providers (Скромные провайдеры) включает системы с узкими возможностями и слабой защитой;
- Tight Operators ( Плотные операторы) охватывает агентов с ограниченными функциями и сильной защитой.
При этом сводный балл и принадлежность к квадранту показывают разные аспекты: балл отражает общий баланс возможностей и защиты, а квадрант — профиль риска.
Согласно исследованию, только 11% агентов сочетают широкие возможности с достаточным уровнем защиты. Самая крупная группа, 40%, обладает обширными возможностями при минимальной защите. Ещё 33% работают в режиме ограниченных возможностей и высокой защиты, а 16% не достигают желаемого уровня ни по возможностям, ни по защите. В отчёте зафиксирована общая тенденция: по мере роста силы агента уровень защиты обычно снижается.
Авторы отдельно описывают так называемую смертельную триаду. Она включает доступ к конфиденциальным данным, обработку недоверенных входных данных и возможность выполнять внешние действия. Такая комбинация есть у 98% рассмотренных агентов, а в восьми из десяти классов её распространённость достигает 100%. По оценке исследователей, один вредоносный документ в такой конфигурации может привести к компрометации почти любого агента в продуктивной среде.
Подтверждения независимыми экспертами не обнаружено у 83% заявленных мер защиты. Только 17% подкреплены исходным кодом, аудитом или формализованными стандартами. Особенно слабым местом остаётся изоляция исполнения, хотя именно она напрямую влияет на радиус поражения. Её наличие или отсутствие при выполнении инструментов объясняет основную часть разброса по ущербу. Песочница снижает остаточный риск, а более жёсткая облачная или контейнерная изоляция уменьшает его ещё сильнее.
В отчёте указано, что 38% агентов выполняют необратимые действия ещё до срабатывания мониторинга. Компьютерные агенты с полным доступом к операционной системе названы самым рискованным классом, а браузерные агенты — самым неоднородным. Авторы рекомендуют при внедрении таких систем требовать проверяемую изоляцию исполнения, применять принцип минимальных привилегий и отдельно оценивать конфигурацию вендора и заказчика.
