AI-агенты как новая тёмная материя идентификации: невидимый риск для бизнеса, безопасности и управления доступом
AI-агенты как новая тёмная материя идентификации: невидимый риск для бизнеса, безопасности и управления доступом
Сначала их почти не видно. Потом без них уже не работает половина процессов. А затем выясняется неприятная вещь: у компании внезапно появилось множество цифровых сущностей с доступом к данным, API, внутренним системам и бизнес-логике — и никто толком не понимает, кто ими управляет, что они умеют и где у них границы. Именно так AI-агенты становятся новой «тёмной материей» идентификации.
Звучит немного драматично? Возможно. Но по сути всё именно так: AI-агенты быстро получают полномочия, действуют автономно, создают новые цепочки доступа и при этом часто выпадают из привычных IAM-, PAM- и IGA-процессов. Они мощные. Почти невидимые. И, что особенно скверно, нередко слабо управляемые.
Для компаний, которые уже внедряют разработку AI-агентов и автоматизацию, это не абстрактная угроза из презентации по кибербезопасности. Это вполне приземлённая архитектурная и операционная проблема: как учитывать агентные идентичности, как ограничивать их права, как отслеживать действия и как не превратить удобную автоматизацию в тихий, расползающийся риск.
Почему AI-агенты меняют саму модель идентификации
Обычная корпоративная модель доступа строилась вокруг людей, сервисных аккаунтов и, в более зрелых средах, машинных идентичностей. AI-агенты ломают эту схему не в лоб, а исподволь. Они не просто «ещё один сервис». Они принимают решения, вызывают инструменты, инициируют действия, обмениваются контекстом, используют память, а иногда и координируются друг с другом.
Короче говоря, это уже не статичный объект в каталоге. Это действующий участник цифровой среды.
У такого агента может быть доступ к CRM, ERP, почте, внутренним базам знаний, тикет-системам, хранилищам документов, платёжным операциям, аналитике и внешним API. Причём доступ этот часто собирается по кусочкам: где-то токен, где-то секрет в переменной окружения, где-то OAuth, где-то прокси-слой, где-то временный ключ, который, как водится, оказался совсем не временным.
И вот тут начинается самое интересное — в плохом смысле. Организация видит приложение, модель, оркестратор, может быть, даже журнал событий. Но не всегда видит саму идентичность агента как объект управления риском.
Что делает AI-агентов «тёмной материей»
Метафора здесь не ради красоты. Тёмную материю не видно напрямую, но её влияние заметно по последствиям. С AI-агентами похожая история.
Они быстро размножаются. Один пилотный агент превращается в пять, потом в двадцать: для поддержки, продаж, внутреннего поиска, закупок, SOC, HR и ещё «маленький эксперимент» у продуктовой команды.
Они получают разрозненные права. Не через единый контур, а через набор интеграций, секретов, коннекторов и исключений.
Они действуют от имени компании. Иногда — с правом читать. Иногда — менять. Иногда — отправлять, утверждать, запускать и удалять.
Они плохо вписываются в традиционный IAM. Потому что агент — это не просто пользователь и не просто бот. Он ближе к автономному операционному субъекту с переменным контекстом.
Они редко описаны в терминах владения. Кто владелец? Кто согласует доступ? Кто отзывает полномочия? Кто отвечает после инцидента? Тишина. Ну или длинная пауза.
Если компания не выстраивает архитектуру AI-агентов с самого начала, агентная среда начинает расти как пристройка к старому дому: сначала вроде удобно, потом сквозит отовсюду.
Главная проблема: агент есть, а управления им — почти нет
Во многих организациях AI-агенты внедряются быстрее, чем появляются правила для них. Бизнесу нужен эффект сейчас: сократить ручной труд, ускорить ответы, автоматизировать рутину, разгрузить команды. Это понятно. Но безопасность и соответствие требованиям не любят спешку — они потом выставляют счёт.
Типичный сценарий выглядит так:
команда запускает AI-агента для внутреннего поиска или обработки заявок;
агенту дают доступ к нескольким системам через API;
для удобства добавляют расширенные права, «чтобы не ломалось»;
подключают память, журналирование, внешние инструменты;
через пару месяцев никто уже не может быстро объяснить, какие именно данные агент видит, где они хранятся и что он может сделать без участия человека.
И это, честно говоря, не редкость. Это почти стандартная болезнь роста.
Где риски становятся реальными
1. Избыточные привилегии
AI-агенту часто выдают доступ «с запасом». Так проще интегрировать, меньше ошибок, быстрее запуск. Но избыточные права для автономной системы — штука опасная. Если агент ошибётся, будет скомпрометирован или начнёт действовать вне ожидаемого сценария, масштаб последствий окажется заметно выше, чем у обычного чат-бота без инструментов.
2. Непрозрачные цепочки делегирования
Агент может использовать токены пользователей, сервисные учётные записи, общие ключи или промежуточные прокси. В результате становится трудно понять, кто именно выполнил действие: человек, приложение, оркестратор или сам агент. Для расследований это кошмар. Тихий, вязкий, бюрократический кошмар.
3. Память, RAG и утечка контекста
Когда агент использует долговременную память, retrieval-пайплайны или корпоративный поиск, появляется риск несанкционированного доступа к чувствительным данным. Особенно если не продуманы фильтрация, сегментация прав и политика хранения контекста. Здесь критически важны агентная память и RAG, спроектированные не только ради качества ответов, но и ради контроля доступа, аудита и минимизации утечек.
4. Мультиагентные взаимодействия
Один агент ещё можно отследить вручную. Десять агентов, которые обмениваются задачами, контекстом и результатами, — уже совсем другая история. В мультиагентных системах поверхность атаки расширяется не линейно, а довольно неприятно: через маршрутизацию задач, доверие между агентами, общую память, брокеры сообщений и скрытые зависимости.
5. Отсутствие формального compliance-контура
Если AI-агент работает с персональными данными, коммерческой тайной, финансовыми операциями или регулируемыми процессами, без нормального governance не обойтись. Нужны политики, журналирование, разграничение доступа, контроль изменений, процедуры отзыва прав и понятная модель ответственности. Иначе вопрос «соответствуем ли мы требованиям?» быстро превращается в вопрос «а кто вообще это одобрил?»
Почему традиционные инструменты IAM не решают проблему полностью
Потому что они создавались не под это. Да, часть механизмов остаётся полезной: каталог идентичностей, SSO, RBAC, управление секретами, аудит, PAM-контроли. Но AI-агент — сущность более подвижная. Его поведение зависит от промпта, контекста, памяти, инструментов, ограничений оркестратора и внешних сигналов.
Проще говоря, недостаточно знать, что агенту «разрешён доступ к системе». Нужно понимать:
в каком контексте доступ разрешён;
какие действия допустимы, а какие нет;
может ли агент делегировать задачу другому агенту;
какие данные он вправе сохранять в память;
как быстро можно отозвать его полномочия;
какие сигналы указывают на отклонение от нормального поведения.
То есть нужен не просто IAM, а более широкий слой управления агентными идентичностями, поведением и риском.
Что стоит делать компаниям уже сейчас
Не потом, не «когда пилот взлетит», не после первого инцидента. Сейчас.
Инвентаризировать всех AI-агентов
Банально, но без этого никуда. У компании должен быть реестр всех агентных систем: кто владелец, где они работают, к каким данным и инструментам подключены, какие модели используют, где хранят память, какие действия могут выполнять.
Выделить агентную идентичность как отдельный класс объектов
Не смешивать AI-агентов с обычными сервисными аккаунтами. У них другой профиль риска, другая динамика доступа и другая модель контроля. Это отдельная категория — со своими политиками, жизненным циклом и требованиями к аудиту.
Внедрить принцип минимально необходимых прав
Да, это звучит как старая песня. Но в случае AI-агентов она снова становится хитом. Агент должен получать только те права, которые нужны для конкретной задачи, на ограниченное время и в контролируемом контексте.
Проектировать безопасность на уровне архитектуры
Не прикручивать её сбоку. Нужны изоляция инструментов, сегментация доступа, безопасное хранение секретов, policy enforcement, журналирование действий, human-in-the-loop для критичных операций и механизмы аварийной остановки. Если тема для вас актуальна, стоит отдельно проработать безопасность AI-агентов ещё до масштабирования в прод.
Связать AI-инициативы с compliance и governance
Особенно в enterprise-среде. AI compliance — это уже не факультатив. Нужно заранее определить, какие данные доступны агенту, где проходят границы автономии, какие журналы обязательны, как проходит проверка изменений и какие требования действуют для регулируемых сценариев. Для этого полезно выстраивать отдельный контур соответствия требованиям для AI.
Куда всё движется
Скорее всего, к миру, где у компаний будет больше AI-агентов, чем классических бизнес-приложений, напрямую видимых пользователю. Часть из них станет внутренними операторами процессов. Часть — аналитическими посредниками. Часть — автономными исполнителями в цепочках продаж, поддержки, закупок, ИБ и разработки.
И вот тогда вопрос идентификации перестанет быть второстепенным. Он станет центральным. Потому что в агентной среде доступ — это не просто право войти. Это право действовать, интерпретировать, передавать контекст, вызывать инструменты и влиять на реальные бизнес-результаты.
Если совсем по-честному, рынок пока ещё только учится смотреть на AI-агентов не как на «умный интерфейс», а как на новый класс цифровых субъектов. С собственными идентичностями, зонами доверия, рисками и обязанностями. Запоздать с этим пониманием можно. Но дорого.
Вывод, хотя это скорее предупреждение
AI-агенты уже становятся невидимым слоем корпоративной инфраструктуры. Они ускоряют процессы, снижают нагрузку на команды и открывают новые сценарии автоматизации. Но вместе с этим создают новую, плохо картографированную область идентификационного риска.
Поэтому главный вопрос сегодня не в том, будут ли компании использовать AI-агентов. Будут, ещё как. Вопрос в другом: смогут ли они управлять их доступом, поведением и ответственностью до того, как эта «тёмная материя» начнёт искривлять всю систему безопасности вокруг себя.
И да — лучше разобраться с этим раньше. Потом, как обычно, будет шумно, дорого и немного поздновато.