ИИ-агенты: это не замена антифроду, а его участник с человеком в контуре

Ниже практическое руководство, построенное на реальном инженерном опыте внедрения агентного слоя в регулируемый продукт с денежными операциями на нескольких рынках. Детали обезличены, потому что в антифроде лишняя конкретика быстро превращается в инструкцию для атакующей стороны. Источник описывает борьбу с бот-сетями, мультиаккаунтингом, охотниками за бонусами, схемами вывода средств и L7-трафиком (атаки на уровне приложений, которые выглядят почти легитимно).

Что понадобится

• Существующая антифрод-система с набором сигналов: логи аутентификации, отпечатки устройств, платёжные события, данные KYC (проверка личности клиента), тикеты поддержки
• Инфраструктура для агентов: в описанном случае использовались LangChain и LangGraph (библиотеки для построения ИИ-агентов), Claude Agent SDK (набор инструментов Anthropic для оркестрации агентов), Dagster (оркестратор пайплайнов)
• Хранилища данных: Kafka (очередь событий), ClickHouse (аналитическая база), OpenSearch (поиск по расследованиям), всё на Kubernetes
• Языковые модели: смешанный набор от OpenAI, Anthropic и локальные модели с LoRA (метод дообучения, когда модель адаптируют под узкую задачу малым числом параметров) там, где важна стоимость или приватность данных
• Трассировка и контроль расходов: Langfuse для отслеживания качества ответов и стоимости токенов (единиц текста, которые модель обрабатывает за деньги)
• Аналитики по фроду, которые остаются в контуре принятия решений о деньгах
• Время на первый рабочий результат: недели, не дни; первый этап покажет улучшение, но преимущество без постоянной адаптации живёт недолго

Пошаговая инструкция

1. Определите, где агент будет работать рядом с людьми, а где автономно. Ключевой принцип из опыта: агент может автоматически ставить флаг, менять выборку, временно ограничивать подозрительный сценарий. Но если речь о блокировке движения денег, человек остаётся в контуре. Попытка дать ИИ-агенту полномочия отдела фрода без контроля закончится плохо.

2. Подключите агентный слой к существующим инструментам антифрода, а не поверх них. Агент должен уметь сходить в аналитическую базу за срезом данных, сравнить когорту пользователей с прошлой неделей, проверить форму API-вызовов в поисковом индексе, предложить обновление правила, поднять кейс человеку или собрать сводку для ручной проверки. ИИ-агенты, это не «модная шапка на макушке системы», а участник цикла управления.

3. Научите систему работать с грязными данными, а не ждите чистых. В реальности будет полтора десятка источников, каждый со своей версией правды. События аутентификации почти нормальные, пока какая-нибудь старая интеграция не пропустит поле. Отпечатки устройств полезны, но не паспорт. Один слабый сигнал ничего не значит, но десять слабых сигналов во времени уже становятся историей.

4. Настройте цикл обратной связи, но защитите его от мусора. Агент заметил смещение паттерна, поменял выборку, подготовил объяснение для аналитика, предложил правило. Аналитик сказал: ложное срабатывание. Этот отклик должен вернуться в систему проверки качества. Без фильтрации обратная связь быстро превращается в помойку.

5. Считайте токены как строку бюджета. Расход токенов неожиданно становится заметной статьёй расходов. Тем, кто привык считать LLM (большую языковую модель) «почти бесплатным API», стоит закладывать мониторинг стоимости с первого дня.

6. Отслеживайте метрики, которые понятны аналитикам. Precision (точность) и recall (полнота) нужны, но аналитики по фроду спрашивают проще: «эта штука тратит моё утро или экономит?» Смотрите на число фрод-инцидентов, скорость обнаружения L7-атак, кейсы социальной инженерии, нагрузку на ручную проверку и время до обнаружения.

7. Готовьтесь к тому, что противник адаптируется. Рабочая защита становится сигналом для атакующей стороны. Преимущество первого этапа в описанном опыте прожило несколько недель, после чего в логах появились новые паттерны обхода.

Что делать с этим прямо сейчас?

Авторам и контент-маркетологам. ИИ-агенты, это не только про фрод. Тот же принцип «цикл наблюдения, вмешательства и обратной связи» работает для мониторинга контента: отслеживание аномалий в статистике, автоматическая пометка подозрительных паттернов поведения аудитории, сводки для ручного анализа. Если вы работаете с рекламными кабинетами, подумайте, какие рутинные проверки можно отдать агенту.

Предпринимателям в РФ и СНГ. Стек из примера построен на западных сервисах, часть которых ограничена или недоступна. Из доступных в РФ аналогов для аналитической базы подойдёт ClickHouse (российская разработка), для языковых моделей стоит смотреть на YandexGPT и GigaChat. Принцип «человек в контуре при решениях о деньгах» актуален вдвойне, учитывая требования российских регуляторов к платёжным системам.

Маркетологам. Антифрод напрямую влияет на юнит-экономику: каждый пропущенный бонусный абьюз или мошенническая транзакция съедает маржу. Если ваш продукт работает с реальными деньгами и у вас больше пятнадцати источников данных, вопрос не «нужен ли агентный ИИ», а «кто будет в контуре принятия решений».

Внедрение агентного ИИ в антифрод не про замену людей, а про то, чтобы аналитик утром открывал не гору мусорных кейсов, а готовую сводку с объяснениями, и тратил время на настоящие угрозы, а не на сортировку вчерашних алертов.