Безопасность SOTA-агентов общего назначения Наступает конец 2025 года, прошедшего под флагом Agentic AI. Среди бесконечного количества разной степени дырявости копайлотов выделяются два важных агентных сценария: агентные браузеры (ChatGPT Atlas, Perplexity Comet и так далее) и агенты для разработчиков (Claude Code, Codex, Cursor и другие). Эти агенты с точки зрения безопасности важны по следующим причинам: 1. Максимально общие сценарии Агент для разработчиков может делать все, что угодно: читать и писать в файлы, ходить в интернет, запускать команды в терминале, писать и сразу же исполнять скрипты и так далее – плюс-минус делать на ПК все, что можно делать без GUI. Агентный браузер – штука еще более интересная. Инженеры бьются над гуманоидными роботами не потому, что две ноги лучше, чем четыре колеса, а потому что мир сделан для людей, и такой робот становится максимально общим. То же самое можно сказать и про агентные браузеры: веб сделан для людей, и научив LLM взаимодействовать с вебом так же, как это делают люди – через визуальный канал и клики мышкой – можно автоматизировать сразу много сценариев без необходимости ожидать от вендоров нормальных API и прочих MCP-костылей. 2. Доступ к ценным данным Что браузер, что IDE – кладезь ценных данных, интересных потенциальным злоумышленникам. В браузере есть история посещения страниц, сама по себе достаточно ценная, содержимое всех сайтов, на которых вы залогинены (интернет-банк, медицинский центр, госуслуги и так далее), кукисы и, конечно, сохраненные пароли и платежные данные. Последними можно воспользоваться и через эксфильтрацию, и в «легитимном» сценарии покупки чего-нибудь на фейковом сайте. Что же касается IDE, то там интерес могут представлять сам код как интеллектуальная собственность, ключи доступа к публичным ресурсам (AWS, OpenAI-токены, JWT от гитхаба…), другие вкусные файлы, разбросанные по файловой системе, а также просто сам факт доступа к консоли на привилегированной тачке девелопера с интересными доступами к корпоративной инфраструктуре. 3. Критичность потенциальных действий Из двух соображений выше проистекает способность таких агентов к рискованным операциям: уничтожение разных сущностей, от файлов до аккаунтов, эксфильтрация конфиденциальных данных, совершение финансовых транзакций, принятие условий договоров и оферт и так далее. Получив устойчивый киллчейн с промпт-инъекцией как вектором атаки для любого из этих агентов, злоумышленник может сорвать большой куш, если такие агенты будут распространены достаточно широко. Общий консенсус среди вендоров таков: промпт-инъекции являются основной угрозой, при этом фундаментальной защиты от них нет, несмотря на продемонстрированные уязвимости как в IDE, так и в браузерах. В следующем посте мы посмотрим на то, какие меры основные вендоры агентных решений предпринимают для защиты пользователей.