В сентябре 2025 года компания Anthropic раскрыла инцидент, который заставил специалистов по кибербезопасности нервно пересмотреть свои подходы. Государственный хакерский актор использовал ИИ-агента для кодинга, чтобы провести полностью автономную кибершпионскую кампанию. Целями стали 30 объектов по всему миру. Самое тревожное: ИИ-агент выполнял от 80 до 90 процентов тактических операций самостоятельно — разведку, написание эксплойт-кода, попытки горизонтального перемещения по сети. Всё это на машинной скорости, без пауз на сон и кофе.
Ещё в 2011 году Lockheed Martin сформулировала концепцию «кибернетической цепочки уничтожения» (Cyber Kill Chain). Суть её проста: атакующий вынужден проходить последовательные этапы — получение первичного доступа, закрепление в системе, разведка окружения, горизонтальное перемещение, повышение привилегий и, наконец, вывод данных мимо DLP-контролей. На каждом этапе у защитников есть шанс перехватить нарушителя. Endpoint-защита, сетевой мониторинг, системы управления учётными записями, SIEM-корреляции — весь этот арсенал строился под человека, который крадётся по чужой инфраструктуре.
Даже самые продвинутые группировки вроде LUCR-3 и APT29, мастера техники «living off the land», всё равно оставляют следы. Нетипичные логины, аномальные паттерны доступа — что-то да мелькнёт. Защитникам приходилось напрягаться, но хотя бы было за что зацепиться. С компрометацией внутреннего ИИ-агента правила игры ломаются.
Представьте ИИ-агента, который уже интегрирован с Salesforce, Slack, Google Drive и ServiceNow. У него административный доступ к нескольким приложениям сразу. Его история активности — готовая карта всей среды. И у него есть абсолютно легитимные причины перемещать данные между системами. Если такой агент скомпрометирован, атакующему не нужно «зарабатывать» доступ поэтапно. Агент и есть вся цепочка атаки целиком. Его действия идеально вписываются в нормальный трафик, а инструменты безопасности, настроенные на отлов аномалий, видят ровно то, что привыкли видеть — обычную рабочую рутину.
Насколько это реалистично? Случай с OpenClaw дает хороший ответ. Примерно 12 процентов навыков (skills) в его публичном маркетплейсе оказались вредоносными. Критическая уязвимость удалённого выполнения кода (RCE) позволяла скомпрометировать систему одним кликом. Свыше 21 000 экземпляров OpenClaw были открыты для публичного доступа. Стоило такому агенту подключиться к Slack и Google Workspace — и он получал доступ к сообщениям, файлам, письмам, документам. Причём с постоянной памятью между сессиями. То есть однажды скомпрометированный агент помнил всё, что узнал вчера.
Проблема тут структурная, а не техническая. Классическая модель защиты предполагает: внутри периметра всё более-менее доверенное, а угроза приходит снаружи. ИИ-агенты переворачивают эту логику. Угроза может работать изнутри, с полным набором легитимных полномочий, и при этом не вызывать ни одного алерта. Ни один SIEM не пискнет, если агент делает ровно то, что делал всегда — просто теперь по чужой указке.
Платформа Reco пытается закрыть именно этот разрыв в видимости. Её подход — инвентаризация всех ИИ-агентов в SaaS-экосистеме, включая «теневые» инструменты, о которых ИТ-отдел может даже не знать. Reco обнаруживает агентов и их связи, например, с GitHub, и визуализирует SaaS-to-SaaS интеграции. Отдельная задача — поиск «токсичных комбинаций» доступа, которые возникают через цепочки MCP, OAuth или API. Скажем, связка Slack и Cursor через MCP может создать путь для атаки, который по отдельности ни один из этих сервисов не предоставил бы.
Reco оценивает объём разрешений и чувствительность данных, автоматически маркирует возникающие риски и помогает с IAM-governance, то есть с управлением тем, кто и к чему имеет доступ. Платформа применяет поведенческий анализ к самим агентам в реальном времени — например, может поднять тревогу, если обнаружит несанкционированное подключение ChatGPT к SharePoint.
Здесь стоит задуматься вот о чём. Команды безопасности, которые фокусируются исключительно на поведении людей, будут стабильно пропускать атаки, едущие верхом на легитимных рабочих процессах ИИ-агентов. Разница между ранним обнаружением и разбором последствий взлома сводится к одному слову — видимость. Если вы не видите, что делают ваши ИИ-агенты, с кем они связаны и какие данные через них проходят, то вы не защищены. Вы просто ещё не знаете об этом.
Скорость, с которой ИИ-агенты распространяются по корпоративным средам, опережает скорость адаптации защитных инструментов. Двенадцать процентов вредоносных навыков в маркетплейсе — это не экзотика, это статистика. И пока отрасль не перестроит свои модели угроз с учётом того, что «доверенный инсайдер» может быть строчкой кода, работающей на противника, подобные инциденты будут повторяться.
Изображение носит иллюстративный характер
Ещё в 2011 году Lockheed Martin сформулировала концепцию «кибернетической цепочки уничтожения» (Cyber Kill Chain). Суть её проста: атакующий вынужден проходить последовательные этапы — получение первичного доступа, закрепление в системе, разведка окружения, горизонтальное перемещение, повышение привилегий и, наконец, вывод данных мимо DLP-контролей. На каждом этапе у защитников есть шанс перехватить нарушителя. Endpoint-защита, сетевой мониторинг, системы управления учётными записями, SIEM-корреляции — весь этот арсенал строился под человека, который крадётся по чужой инфраструктуре.
Даже самые продвинутые группировки вроде LUCR-3 и APT29, мастера техники «living off the land», всё равно оставляют следы. Нетипичные логины, аномальные паттерны доступа — что-то да мелькнёт. Защитникам приходилось напрягаться, но хотя бы было за что зацепиться. С компрометацией внутреннего ИИ-агента правила игры ломаются.
Представьте ИИ-агента, который уже интегрирован с Salesforce, Slack, Google Drive и ServiceNow. У него административный доступ к нескольким приложениям сразу. Его история активности — готовая карта всей среды. И у него есть абсолютно легитимные причины перемещать данные между системами. Если такой агент скомпрометирован, атакующему не нужно «зарабатывать» доступ поэтапно. Агент и есть вся цепочка атаки целиком. Его действия идеально вписываются в нормальный трафик, а инструменты безопасности, настроенные на отлов аномалий, видят ровно то, что привыкли видеть — обычную рабочую рутину.
Насколько это реалистично? Случай с OpenClaw дает хороший ответ. Примерно 12 процентов навыков (skills) в его публичном маркетплейсе оказались вредоносными. Критическая уязвимость удалённого выполнения кода (RCE) позволяла скомпрометировать систему одним кликом. Свыше 21 000 экземпляров OpenClaw были открыты для публичного доступа. Стоило такому агенту подключиться к Slack и Google Workspace — и он получал доступ к сообщениям, файлам, письмам, документам. Причём с постоянной памятью между сессиями. То есть однажды скомпрометированный агент помнил всё, что узнал вчера.
Проблема тут структурная, а не техническая. Классическая модель защиты предполагает: внутри периметра всё более-менее доверенное, а угроза приходит снаружи. ИИ-агенты переворачивают эту логику. Угроза может работать изнутри, с полным набором легитимных полномочий, и при этом не вызывать ни одного алерта. Ни один SIEM не пискнет, если агент делает ровно то, что делал всегда — просто теперь по чужой указке.
Платформа Reco пытается закрыть именно этот разрыв в видимости. Её подход — инвентаризация всех ИИ-агентов в SaaS-экосистеме, включая «теневые» инструменты, о которых ИТ-отдел может даже не знать. Reco обнаруживает агентов и их связи, например, с GitHub, и визуализирует SaaS-to-SaaS интеграции. Отдельная задача — поиск «токсичных комбинаций» доступа, которые возникают через цепочки MCP, OAuth или API. Скажем, связка Slack и Cursor через MCP может создать путь для атаки, который по отдельности ни один из этих сервисов не предоставил бы.
Reco оценивает объём разрешений и чувствительность данных, автоматически маркирует возникающие риски и помогает с IAM-governance, то есть с управлением тем, кто и к чему имеет доступ. Платформа применяет поведенческий анализ к самим агентам в реальном времени — например, может поднять тревогу, если обнаружит несанкционированное подключение ChatGPT к SharePoint.
Здесь стоит задуматься вот о чём. Команды безопасности, которые фокусируются исключительно на поведении людей, будут стабильно пропускать атаки, едущие верхом на легитимных рабочих процессах ИИ-агентов. Разница между ранним обнаружением и разбором последствий взлома сводится к одному слову — видимость. Если вы не видите, что делают ваши ИИ-агенты, с кем они связаны и какие данные через них проходят, то вы не защищены. Вы просто ещё не знаете об этом.
Скорость, с которой ИИ-агенты распространяются по корпоративным средам, опережает скорость адаптации защитных инструментов. Двенадцать процентов вредоносных навыков в маркетплейсе — это не экзотика, это статистика. И пока отрасль не перестроит свои модели угроз с учётом того, что «доверенный инсайдер» может быть строчкой кода, работающей на противника, подобные инциденты будут повторяться.
