Безопасность ИИ-агентов: 5 шагов, чтобы агент не слил данные и не перевёл деньги сам

Организация OWASP (Open Worldwide Application Security Project, международный проект по безопасности приложений) в 2026 году опубликовала список десяти главных угроз для агентных приложений, OWASP Top 10 for Agentic Applications. Среди них: подмена вызовов инструментов, отравление памяти агента, каскадные сбои в мультиагентных системах (когда несколько ИИ-агентов работают цепочкой) и манипуляция целями агента. Российский рынок не исключение: любая компания, внедряющая агентов, сталкивается с теми же рисками, но должна учитывать ещё и локальные требования к хранению данных и безопасности. Продукт INFERA AI.Firewall, о котором пойдёт речь ниже, заявляет, что уже закрывает значительную часть этих требований.

Что понадобится

• Доступ к INFERA AI.Firewall (облачная или on-premise версия)
• Список всех агентных систем в вашей инфраструктуре: фреймворки, подключённые инструменты, способ запуска
• Описание критичных операций, которые агенты выполняют (финансовые переводы, изменение данных клиентов, запуск кода)
• Время: первичный аудит займёт от одного до трёх рабочих дней в зависимости от количества агентов

Пять шагов к безопасности ИИ-агентов

1. Проведите аудит агентных систем. Составьте реестр: какие агенты работают, какие фреймворки используют, к каким инструментам и API обращаются. Без этой карты вы не знаете, что защищать.

2. Внедрите сквозное логирование действий и рассуждений агентов. Фиксируйте каждый вызов инструмента (tool call, обращение агента к внешнему сервису или функции). Минимум: логируйте все критичные команды, финансовые операции и обращения к базам данных.

3. Настройте политики наименьших привилегий (least privilege) для каждого вызова инструмента. Через INFERA AI.Firewall это делается на уровне единого API-шлюза. Каждый вызов получает один из трёх вердиктов: allow (разрешить), deny (отклонить), pending (ожидать подтверждения человека).

# Пример политики для агента, работающего с CRM
policy:
  agent_id: crm_agent_01
  tool_calls:
    - tool: update_customer_record
      verdict: pending        # требует подтверждения оператора
    - tool: read_customer_record
      verdict: allow
    - tool: delete_customer_record
      verdict: deny           # запрещено без исключений
  token_quota:
    max_per_hour: 50000
    max_per_day: 500000

1. Включите Human-in-the-Loop для действий с финансовыми и критическими последствиями. Агент не должен сам переводить деньги или удалять данные. Настройте вердикт pending для таких операций, и система будет ждать подтверждения живого сотрудника.

2. Запустите регулярный Red Teaming (имитация атак на ваших агентов). Проверяйте сценарии: что будет, если агенту подсунут отравленные данные через RAG (retrieval-augmented generation, метод, когда модель ищет ответ в вашей базе знаний)? Что случится при попытке подмены идентичности агента? INFERA предоставляет pre-deployment контур со сканерами навыков и аудитом конфигураций для таких проверок.

Как INFERA AI.Firewall обрабатывает запросы на практике?

Все обращения агента к языковой модели и вызовы инструментов проходят через центральный модуль системы. Конвейер защиты срабатывает последовательно на каждом шаге:

• Инспекция входных данных. Система ищет prompt injection (внедрение вредоносных инструкций в запрос), jailbreak-попытки (попытки обойти ограничения модели) и подозрительные команды
• Сверка с движком политик и реестром доверия. Проверяется, имеет ли агент право на этот конкретный вызов
• MCP-прокси (прокси для протокола взаимодействия между моделью и инструментами). Анализирует аргументы вызываемого инструмента: разрешён ли сам инструмент, допустимы ли переданные параметры
• Инспекция выходных данных. Фильтрация утечек информации, поиск секретов и чувствительных данных в ответах

Дополнительно можно задать квоты по частоте запросов и общему количеству токенов (единиц текста, которые обрабатывает модель). Это защищает и от атак на отказ в обслуживании, и от неконтролируемого расхода бюджета на API языковых моделей.

Для экономии доступен ML-роутинг: простые запросы агента направляются на лёгкую модель, сложные на мощную. По данным разработчиков INFERA, это позволяет снизить затраты без потери качества при грамотном управлении контекстом.

Что делать прямо сейчас по ролям?

Авторам Дзена и копирайтерам. Если вы используете ИИ-агентов для автоматизации публикаций (сбор фактов, генерация черновиков, работа с изображениями), убедитесь, что агент не имеет доступа к удалению или редактированию опубликованного контента без вашего подтверждения. Human-in-the-Loop здесь не формальность, а страховка от потери материалов.

Маркетологам. Агенты, работающие с CRM и рекламными кабинетами, могут менять бюджеты и сегменты аудитории. Логирование каждого вызова инструмента позволит вам отследить, когда и почему агент изменил ставку или переключил кампанию.

Предпринимателям в РФ и СНГ. INFERA AI.Firewall позиционируется как локальное решение, что важно для соблюдения требований по хранению данных на территории России. Из доступных в РФ аналогов стоит смотреть на GigaChat и YandexGPT как языковые модели, но специализированных продуктов уровня Agent Runtime Security на российском рынке пока мало, и INFERA занимает эту нишу.

Начните с первого шага: составьте реестр своих агентов и их прав. Без этой карты любой инструмент защиты, будь то INFERA или что-то ещё, работает вслепую. А агент, работающий вслепую, это не помощник, а источник риска.