Єдиний фальшивий звіт про помилку зламав Claude Code під час контрольованих тестів — агент виконав код зловмисника з повними привілеями розробника, і жодного сигналу не було. Системи EDR, WAF, IAM та брандмауер повністю його пропустили.
У звіті Tenet Security від червня про викриття “agentjacking” (зловмисне захоплення агентів) описується один майстерно сформований подія помилки Sentry — надіслана через загальнодоступний ключ, який не потребує витоку чи автентифікації — що впровадив інструкції зловмисника у дані про помилки, які Claude Code, Cursor і Codex потім виконали як достовірні діагностичні дані. Tenet протестував понад 100 цілей в контрольованих умовах і досяг 85% успіху. Sentry назвав цю вразливість “технічно не захищеною”.
Cloud Security Alliance класифікувала agentjacking як системний клас вразливостей MCP (Managed Code Platform – Платформа керованого коду) через кілька днів після викриття. Жодних облікових даних не було вкрадено, жодна політика не була порушена, жоден периметр не був зламаний: кожен крок у ланцюжку був авторизований. Це і є проблема.
Tenet виявив 2 388 організацій з публічно доступними ключами Sentry, які можуть бути використані для масового впровадження шкідливих подій. Дослідження є доказом концепції, а не підтвердженою експлуатацією на всіх 2 388. Але в одному захопленому середовищі Claude Code було знайдено активний секретний ключ доступу AWS та URL-адреси приватних репозиторіїв.
Ось тест масштабу: якщо ваші AI-агенти для кодування підключені до Sentry, Datadog, PagerDuty, Jira або будь-якого джерела даних, підключеного до MCP, якому довіряють ваші розробники — і ці агенти можуть виконувати команди оболонки (shell commands) — тоді ваш стек має ту ж сліпу пляму.
Організації, що використовують Sentry, повинні негайно провести аудит усіх загальнодоступних DSN (Data Source Name). Архітектура Sentry навмисно робить ключі DSN публічними для звітування про помилки на стороні клієнта (frontend), тому пом’якшення наслідків полягає не у відкликанні DSN, а в обмеженні того, що агенти можуть робити з даними, які повертають ці DSN.
Чому ваш стек не бачить цього
Agentjacking працює, тому що кожен крок авторизований: зловмисник надсилає дійсний API-виклик Sentry, використовуючи публічний DSN, сервер MCP повертає впроваджену подію як автентичний вихід, а агент виконує інструкцію, використовуючи привілеї розробника. Жоден сигнатурний детектор не спрацював. Жертва бачила лише нешкідливі діагностичні повідомлення, тоді як агент мовчки розкривав хмарні облікові дані та токени контролю версій.
Команди SOC (Security Operations Center) ніколи не мали потреби відрізняти розробника, який виконує `npm install`, від агента, який виконує цю команду у відповідь на шкідливу подію помилки. Ця відмінність не існувала доти, доки AI-агенти для кодування не стали виробничими інструментами. Стек, який не може зробити це розрізнення, — це стек, який оминає agentjacking.
П’ять опитувань, одна закономірність
П’ять незалежних опитувань з першої половини 2026 року показали, що підприємства довіряють своїм AI-агентам значно більше, ніж це виправдовує їхні заходи безпеки.
Лише 34% організацій застосовують до AI-агентів такі ж заходи безпеки, як і до людей, згідно з опитуванням Okta/Apprize360 серед 292 керівників та 492 працівників, що займаються інтелектуальною працею. П’ятдесят два відсотки працівників використовують несанкціоновані AI-інструменти, а 58% керівників повідомили про інцидент, пов’язаний з AI, або близький до нього за останній рік.
Звіт HiddenLayer “AI Threat Landscape Report 2026” охопив 250 керівників ІТ та безпеки: 33% повідомили, що агенти вже вийшли за межі запланованого обсягу, а 31% не змогли підтвердити, чи зазнали вони витоку даних через AI. Один з восьми витоків через AI був пов’язаний з агентами.
Опитування Gravitee понад 900 керівників та практиків показало, що лише 14,4% агентів були запущені в експлуатацію з повною перевіркою безпеки, і 88% повідомили про підтверджені або підозрювані інциденти. Подальше опитування 750 керівників у квітні виявило, що кількість агентів подвоїлася, тоді як моніторинг майже не змінився.
Розрив у часі виконання, який ніхто не закрив
“Захист агентів дуже схожий на захист високопривілейованих користувачів”, — сказав Еліа Зайцев, технічний директор CrowdStrike, в інтерв’ю VentureBeat. “Вони мають ідентичності, доступ до базових систем, вони міркують, вони діють”.
Зайцев вказав на прогалину, яку залишив відкритим індустрія. “Ніхто не говорив про захист агентів під час виконання. Ми робимо це зараз. Яка ваша страховка? Якщо всі ці засоби контролю зазнають невдачі, як запобігти їх мовчазному збою?”
Дані CrowdStrike щодо парку пристроїв кількісно визначають ризик: понад 1 800 застосунків на основі агентів на корпоративних кінцевих точках, приблизно 160 мільйонів екземплярів під моніторингом. 15 червня CrowdStrike представив Continuous Identity for AI Agents на Identiverse, замінивши статичні політики безперервним виконанням, яке авторизує кожну дію агента в реальному часі. Клас контролю, який відображає це оголошення — безперервна авторизація на рівні дій з перевіреною ідентичністю агента — тепер є базовим критерієм закупівлі незалежно від постачальника.
“Люди майже забули про безпеку під час виконання”, — сказав Зайцев. “Ми робили це з кінцевими точками, віртуалізацією та хмарами. Люди зосереджувалися на виправленні вразливостей, обмеженні дозволів. Чомусь вони завжди пропускають щось. Запобіжником є безпека під час виконання”.
Зайцев був так само прямолінійний щодо підходів із використанням пісочниць (sandboxing). “Якщо ви почнете з агента в пісочниці, який не може нічого торкнутися, він нічого не вартий. Дуже швидко ви опиняєтеся в гонці, даючи йому більше можливостей. І тоді який сенс у вашій пісочниці?” Агенти отримують свою цінність від доступу. Кожне надання доступу — це поверхня атаки.
Розрив у керуванні — це проблема бюджету
Кейн МакГладрі, старший член IEEE, описав структурну проблему в ексклюзивному інтерв’ю VentureBeat. “У CISO (Chief Information Security Officer) немає бюджету. У CISO немає персоналу. Ми можемо спостерігати ризики, ми можемо консультувати щодо бізнес-ризиків, але ми не володіємо бізнес-системами, на які впливають ці ризики”. Коли керування агентами охоплює шість бюджетів департаментів, жоден окремий керівник не може підтвердити, чи отримують агенти такі ж перегляди доступу, як і люди.
Опитування Okta кількісно визначає розрив. Лише 43% працівників вважають політики щодо агентів чіткими, порівняно з 65% керівників, і майже дві третини застосовують слабші засоби контролю до агентів, ніж до людей. Люди, які щодня розгортають агентів, не визнають стан керування, який стверджує, що побудувала їхня керівництво.
Ассаф Керен, головний спеціаліст з безпеки Qualtrics та колишній CISO PayPal, висловився прямо. “Справжній ризик починається не з впровадження AI-систем. Це факт, що базова архітектура не добре налагоджена. Коли ми ставимо AI-систему на щось, що не було добре спроєктоване, ми прискорюємо тріщини”. Керен назвав аналітику поведінки під час виконання “на даний момент невирішеною проблемою”.
Тест на розрив за 5 запитаннями
Тест на розрив за 5 запитаннями базується на п’яти опитуваннях з першої половини 2026 року. Кожне запитання відповідає розриву, який експлуатує agentjacking. Виконайте це перед будь-якою оцінкою постачальників у 3-му кварталі.
|
Тестований розрив |
Доказ |
Що ламається |
Дія на понеділок |
Джерело / вибірка |
|
1. Інвентаризація агентів. Який відсоток агентів, з’єднань MCP та LLM-автоматизацій пройшов перевірку безпеки перед розгортанням? |
14,4% отримують повну перевірку безпеки/ІТ перед запуском. 52% працівників використовують несанкціоновані AI-інструменти. Середнє підприємство наразі керує понад 37 розгорнутими агентами, що приблизно подвоїлося порівняно з 4-м кварталом 2025 року. |
Несанкціоновані агенти невидимі для вашої платформи ідентифікації та не підзвітні у випадку витоку даних. Agentjacking націлений саме на ці некеровані з’єднання MCP. Відсутність обліку означає відсутність аудиторського сліду для регуляторної відповіді. |
Замовте повний облік агентів, серверів MCP та LLM-автоматизацій. Зробіть завершення обліку умовою закупівлі для всіх оцінок постачальників у 3-му кварталі. Позначайте будь-якого агента, виявленого після обліку, як інцидент тіньового AI. |
Gravitee State of AI Agent Security 2026, 900+ респондентів (лютий 2026); Gravitee квітень 2026, 750 керівників тех. галузі; Okta/Apprize360, 292 керівника + 492 працівника (червень 2026) |
|
2. Паритет контролю. Чи отримують агенти такі ж перегляди доступу, масштабування привілеїв та терміни відкликання, як і працівники-люди? |
34% завжди застосовують однакові заходи контролю до агентів, як і до людей. 61% привілейованого доступу надається без належної перевірки. Лише 22% розглядають агентів як незалежні сутності, що мають ідентичність. |
Агент зі статичним OAuth-токеном і без циклу перегляду — це постійний привілейований обліковий запис без дати припинення. Agentjacking успадковує будь-які привілеї, які має розробник. 45,6% організацій покладаються на спільні ключі API для автентифікації агент-агент. |
Додайте кожного виробничого агента до наступного циклу перегляду доступу. Вимагайте участі людини (human-in-the-loop) для будь-якої дії агента, що стосується персональних даних, фінансових даних або виробничої інфраструктури. Замініть спільні ключі API на обмежені, короткотривалі токени. |
Okta/Apprize360 (784 респонденти, червень 2026); Palo Alto Networks (2 930 респондентів); Gravitee (900+, дані про спільні ключі API) |
|
3. Зсув обсягу. Чи отримували якісь агенти доступ до даних або систем за межами їхнього визначеного обсягу за останні 12 місяців? |
33% повідомляють, що агенти вже вийшли за межі обсягу. 53% кажуть, що агенти іноді або час від часу перевищують дозволи. Meta Sev 1, березень 2026: агент опублікував конфіденційні дані в неавторизований канал. Лише 8% кажуть, що агенти ніколи не перевищують передбачені дозволи. |
Зсув обсягу спричиняє події, що підлягають звітності згідно з GDPR, CCPA, HIPAA та правилами кібербезпеки SEC. Якщо виявлення не може розрізнити доступ, ініційований агентом, від доступу, ініційованого людиною, терміни розкриття інформації стають недосяжними. Агенти, що створюють під-агентів (25,5% розгорнутих агентів можуть створювати інших агентів), роблять аудиторські сліди алгебраїчно незбагненними. |
Проведіть 90-денний аудит зсуву обсягу для кожного виробничого агента. Порівняйте фактично використані ресурси з документацією затвердженого обсягу. Блокуйте делегування агент-агент без явного дозволу людини для будь-якої дії, що виходить за межі обсягу батьківського агента. |
HiddenLayer AI Threat Landscape 2026 (250 керівників ІТ/безпеки); CSA AI Agent Security Survey (дані про порушення обсягу); Gravitee (дані про створення агентів) |
|
4. Розрив у сприйнятті керування. Чи сказали б 50 працівників, що ваші політики щодо AI-агентів чіткі? |
Розрив у 22 пункти: 65% керівників кажуть, що політики чіткі, 43% працівників погоджуються. 77% команд безпеки бачать ризик тіньового AI, але їм бракує видимості для дій. 76% вважають тіньовий AI певною або ймовірною проблемою. |
Ви оцінюєте постачальників на основі стану керування, який ваша робоча сила не визнає. Кожен тіньовий агент підриває порівняння постачальників. Працівники, які діляться внутрішніми повідомленнями (54%), даними HR (45%) та конфіденційними документами (39%) з несанкціонованими AI-інструментами. |
Опитування з одного запитання перед вашим наступним демо-показом постачальника. Якщо розрив перевищує 15 пунктів, призупиніть закупівлю. Опублікуйте внутрішню політику прийнятного використання AI-агентів з конкретними прикладами дозволеної та забороненої поведінки агентів. |
Okta/Apprize360 (784 респонденти, червень 2026); Ivanti 2026 AI Maturity Report (1 200 респондентів); HiddenLayer (дані про тіньовий AI) |
|
5. Певність виявлення інцидентів. Чи може ваша команда безпеки підтвердити, чи зазнала вона інциденту, пов’язаного з AI, за останній рік? |
31% не можуть відповісти. 88% повідомили про підтверджені або підозрювані інциденти безпеки AI-агентів. Один з восьми повідомлених інцидентів витоку через AI тепер пов’язаний з агентами. Agentjacking довів, що EDR, WAF, IAM та брандмауер пропустили атаку, опосередковану агентом, без жодного сигналу. |
Немає підстав для термінів розкриття інформації. Немає ланцюга доказів для реагування на інциденти. Немає захищеної позиції в регуляторному розслідуванні. Зобов’язання щодо відповідності високому ризику EU AI Act набувають чинності 2 серпня 2026 року. |
Вимагайте виявлення дій агентів під час виконання як передумову для закупівлі. Переконайтеся, що ваша організація може розрізняти дії, ініційовані агентом, від дій, ініційованих людиною, у виробничій телеметрії. Перевірте здатність вашого SOC віднести конкретну дію до конкретного агента протягом 60 хвилин. |
HiddenLayer (250 керівників ІТ/безпеки); Gravitee (900+, рівень інцидентів); Tenet Security (2 388 організацій під ризиком); CSA (класифікація системних вразливостей MCP) |
План дій директора з безпеки
Зобов’язання щодо відповідності високому ризику EU AI Act набувають чинності 2 серпня 2026 року. Варто врахувати це при плануванні 3-го кварталу.
-
Виконайте тест на розрив за 5 запитаннями вище перед будь-якою оцінкою постачальників у 3-му кварталі — його адміністрування нічого не коштує, а ясність у закупівлях, яку він створює, варта значно більше, ніж 30 хвилин, які він займає.
-
Розгляньте можливість встановлення вимоги щодо виявлення дій агентів під час виконання. Якщо ваш стек не може відрізнити, що робив агент, від того, що робив розробник, agentjacking обійде його так само, як обійшов усі шари в тестах Tenet. Ця відмінність — єдина, яка зараз має значення.
-
Ставтеся до кожного агента як до привілейованого інсайдера. Згідно з опитуванням Okta/Apprize360, лише 34% організацій застосовують до агентів такі ж заходи контролю, як і до людей; закриття цього розриву — це найважливіше, що можуть зробити більшість команд безпеки цього кварталу.
-
Перевірте розрив у сприйнятті перед інвестуванням у нові інструменти. Одне запитання до 50 працівників. Чи знаєте ви політики вашої компанії щодо AI-агентів? Якщо розрив між їхньою відповіддю та відповіддю керівництва перевищує 15 пунктів, це проблема, яку слід вирішувати в першу чергу. Жоден продукт постачальника не виправить стан керування, який не визнає ваша власна робоча сила.
-
Зробіть завершення обліку агентів умовою закупівлі — кожен агент, кожне з’єднання MCP. Команди безпеки, які роблять це правильно, — це ті, хто почав з повного інвентарю та рухався далі.
Agentjacking усунув припущення, яке існувало з моменту появи першого брандмауера. Авторизований не означає безпечний. Коли кожен крок у ланцюжку є законним, єдиним захистом, який має значення, є той, що спостерігає за діями агентів. Не за тим, що кажуть політики. За тим, що роблять агенти.
Як захиститися (Порада CryptoDom): Впровадьте сувору політику найменших привілеїв для всіх AI-агентів, надаючи їм доступ лише до тих ресурсів і функцій, які абсолютно необхідні для виконання їхніх завдань. Регулярно переглядайте та оновлюйте ці дозволи, а також активно моніторте дії агентів на предмет будь-яких відхилень від нормальної поведінки, використовуючи системи виявлення вторгнень та аналітики поведінки.
Інформація підготовлена на основі матеріалів: venturebeat.com