Что меняется

Последние два года AI заходил в продукты как удобная фича. Чат-бот, который отвечает на вопросы, ассистент, который подсказывает. Если он ломался, было неприятно, но не смертельно. К 2027 картина другая. AI всё чаще не отвечает, а действует: сам ходит в сервисы, оформляет, отправляет, меняет данные, принимает решения без человека в цикле. Это и есть главный сдвиг. Раньше уязвимость в AI давала утечку текста, теперь она даёт несанкционированное действие. И атакующий это понимает раньше, чем многие команды. Пока бизнес радуется, что агент сам закрывает заявки и двигает деньги между счетами, злоумышленник смотрит на то же самое и видит автоматизированную точку входа, которая работает круглосуточно и которой можно скормить нужный текст. Готовиться к 2027 это значит перестать думать про AI как про чат и начать думать про него как про сервис с правами доступа.

Откуда придёт удар

Чтобы опередить атакующего, надо понимать, куда он целится, и тут вырисовываются несколько направлений. Первое, инъекции через данные станут массовыми. Пока агент сам подтягивает в контекст письма, документы, страницы, описания товаров, любой из этих источников превращается в канал доставки чужих инструкций. Атакующему не нужен доступ к вашей системе, ему достаточно оставить нужный текст там, куда агент однажды заглянет, и ждать. Второе, цепочки агентов. Когда один агент вызывает другого, а тот третий, ошибка или подмена на раннем шаге тихо проезжает через всю цепочку, и разобрать постфактум, где именно подменили намерение, тяжело. Третье, действия вместо утечек. Раньше потолок атаки был «показал лишнее», теперь потолок «сделал лишнее»: отправил, списал, удалил, выдал доступ. Четвёртое, объём и автоматизация. Атаки на AI дёшево масштабируются, потому что сам интерфейс это текст, а текст легко генерировать и перебирать тысячами вариантов. То, что в ручном режиме было редким случаем, в автоматическом становится постоянным фоном. Общий вектор один: чем больше прав у агента и чем больше внешних источников он читает, тем шире поверхность атаки.

Где обычно опаздывают

Типичная ошибка не в том, что команда не думает о безопасности, а в том, что думает о ней в старых категориях. Защищают периметр, фильтруют ввод пользователя, пишут правила в системный промпт и считают, что этого хватит. Но AI-агент ломает привычные границы. Ввод приходит не только от пользователя, но и из любых данных, которые агент читает, а промпт, как мы не раз показывали, это пожелание, а не контроль. Вторая частая беда, агенту выдают прав с запасом, на всякий случай, чтобы он мог делать больше. Ровно эти лишние права и становятся тем, чем воспользуется атакующий. Третья, нет видимости. Когда агент совершает сотни действий в день, отличить нормальное поведение от подменённого можно только если за этим вообще кто-то следит, а во многих внедрениях логов либо нет, либо их никто не смотрит до первого инцидента. Опаздывают не потому, что не закрыли конкретную дыру, а потому что строят защиту вокруг старой модели угроз, в которой AI просто говорит, а не делает.

Как опередить

Опередить злоумышленника значит закрыть классы атак заранее, на уровне архитектуры, а не латать формулировки после инцидента. Первое и главное, минимум прав. Агенту дают ровно тот доступ, который нужен для задачи, и ни единым правом больше. Если он не должен удалять, у него физически нет такой возможности, а не запрет в тексте промпта. Урезанные права это потолок ущерба при любой инъекции. Второе, контроль доступа на сервере, а не в модели. Кто что может видеть и делать, решает бэкенд до обращения к модели, по личности текущего пользователя. Модель не выбирает, что показать, ей просто не дают чужого. То, чего нет в окне контекста, нельзя ни раскрыть, ни использовать. Третье, разделение доверенного и недоверенного. Всё, что агент читает извне, письма, документы, страницы, ответы сервисов, помечается как недоверенный текст и не может управлять поведением агента наравне с системными правилами. Инструкция, спрятанная в данных, остаётся данными. Четвёртое, подтверждение и предел на действия. Любое действие, которое что-то меняет, отправляет или касается чувствительного, проходит проверку на стороне кода, а критичное требует явного подтверждения человека. У цепочек агентов стоит жёсткий лимит шагов и бюджета, чтобы сбой или подмена упирались в стену, а не разворачивались на полную. Пятое, наблюдаемость с первого дня. Логируют входы, выходы, вызовы инструментов и отказы, следят за аномалиями в поведении агента. Атаку, которая воспроизводится автоматически и массово, видно по графику задолго до того, как она нанесёт реальный ущерб, но только если есть на что смотреть.

Что в итоге

2027 это не год новой магической угрозы, это год, когда AI получает руки и права, а вместе с ними и цену ошибки. Злоумышленник уже смотрит на агентов как на автоматизированную точку входа с доступом к данным и действиям. Опередить его нельзя удачным промптом или фильтром на входе. Можно архитектурой, в которой у агента минимум прав, доступ решает сервер, внешний текст никогда не командует наравне с системой, опасные действия подтверждаются, а за всем происходящим видно в реальном времени. Кто заложит это сейчас, тот в 2027 будет разбирать попытки атак по логам. Кто отложит, тот будет разбирать последствия по жалобам клиентов.