Connect with us

Ваш агент вже не просто чат-бот — тому чому ви все ще ставитеся до нього як до чат-бота?

Лідери думок

Ваш агент вже не просто чат-бот — тому чому ви все ще ставитеся до нього як до чат-бота?

mm
Published
Updated

На початку епохи генерації штучного інтелекту найгіршим сценарієм для неправильної поведінки чат-бота часто було не більше ніж публічне посмішування. Чат-бот міг галюцинувати факти, випльовувати упереджений текст або навіть називати вас іменами. Це було досить погано. Але тепер ми передали їм ключі.

Ласкаво просимо до епохи агентів.

Від чат-бота до агента: Зміна автономності

Чат-боти були реактивними. Вони залишались у своїх межах. Задайте питання, отримайте відповідь. Але агенти штучного інтелекту — особливо ті, які побудовані з використанням інструментів, виконання коду та постійної пам’яті — можуть виконувати багатокрокові завдання, викликати API, запускати команди та писати та розгортати код автономно.

Іншими словами, вони не просто реагують на запити — вони приймають рішення. І як будь-який фахівець з безпеки скаже вам, коли система починає виконувати дії у світі, вам краще серйозно зайнятися безпекою та контролем.

Про що ми попереджали у 2023 році

У OWASP ми почали попереджати про цю зміну понад два роки тому. У першому випуску OWASP Top 10 для застосунків LLM ми придумали термін: Надмірна агентність.

Ідея була простою: коли ви даєте моделі занадто багато автономності — занадто багато інструментів, занадто багато повноважень, занадто мало нагляду — вона починає вести себе більше як вільний агент, ніж обмежений помічник. Можливо, вона планує ваші зустрічі. Можливо, вона видаляє файл. Можливо, вона створює надмірну, дорогу хмарну інфраструктуру.

Якщо ви не будете обережні, вона починає вести себе як заплутаний заступник… або гірше, як ворог-агент, який просто чекає на можливість бути використаним у випадку кібербезпеки. У недавніх реальних прикладах агенти від великих програмних продуктів, таких як Microsoft Copilot, Salesforce’s Slack product були показані як вразливі до обману з використанням їх підвищених привілеїв для витоку конфіденційних даних.

І тепер це гіпотетичне виглядає menos подібним на наукову фантастику та більше як ваш майбутній план на третій квартал.

Знайомтеся з MCP: Шар агентського контролю (або це так?)

Перемотайте час до 2025 року, і ми бачимо хвилю нових стандартів і протоколів, розроблених для обробки цього вибуху функціональності агентів. Найбільш помітним серед них є протокол контексту моделі (MCP) компанії Anthropic — механізм для підтримання спільної пам’яті, структур завдань та доступу до інструментів під час довгоживучих сесій агентів штучного інтелекту.

Підумайте про MCP як про клей, який тримає контекст агента разом через інструменти та час. Це спосіб сказати вашому кодовому помічнику: “Ось що ви зробили до цього. Ось що вам дозволено робити. Ось що вам слід пам’ятати”.

Це довгожданий крок. Але він також піднімає нові питання.

MCP — це capability-енаблер. Де жорсткі обмеження?

До цього часу увага при розробці MCP була зосереджена на розширенні того, що можуть робити агенти — а не на їхньому обмеженні.

Хоча протокол допомагає координувати використання інструментів і збереження пам’яті під час завдань агентів, він ще не адресує критичні проблеми, такі як:

  • Опір ін’єкції запиту: Що відбувається, якщо атакувальник маніпулює спільною пам’яттю?
  • Огранічення команди: Чи може агент бути обманутий щодо перевищення його повноважень?
  • Розтрата токена: Чи може витік пам’яті розкрити дані про користувача або API-підтвердження?

Це не теоретичні проблеми. Недавнє дослідження безпеки показало, що архітектури типу MCP вразливі до ін’єкції запиту, неправильного використання команди та навіть отруєння пам’яті, особливо коли спільна пам’ять не достатньо обмежена або зашифрована.

Це класична проблема “влада без нагляду”. Ми побудували екзоскелет, але ми ще не знайшли місце для вимикача.

Чому CISO повинні звернути увагу — зараз

Ми не говоримо про майбутню технологію. Ми говоримо про інструменти, які ваші розробники вже використовують, і це тільки початок масового впровадження, яке ми побачимо в підприємствах.

Кодові агенти, такі як Claude Code і Cursor, набирають реальну популярність у корпоративних потоках роботи. Внутрішні дослідження GitHub показали, що Copilot може прискорити завдання на 55%. Нещодавно компанія Anthropic повідомила, що 79% використання Claude Code було зосереджено на автоматизованому виконанні завдань, а не просто на пропозиціях коду.

Це реальна продуктивність. Але це також реальна автоматизація. Це вже не копілоти. Вони все частіше літають самостійно. А кабіна? Вона порожня.

Недавно генеральний директор Microsoft Сатья Наделла сказав, що штучний інтелект зараз пише до 30% коду Microsoft. Генеральний директор компанії Anthropic, Даріо Амодей, пішов ще далі, передбачивши, що штучний інтелект буде генерувати 90% нового коду протягом шести місяців.

І це не тільки розробка програмного забезпечення. Протокол контексту моделі (MCP) тепер інтегрується в інструменти, які виходять за межі кодування, охоплюючи сортування електронної пошти, підготовку до зустрічей, планування продажів, підсумовування документів та інші високоефективні завдання продуктивності для загальних користувачів. Хоча багато з цих випадків використання ще знаходяться на ранній стадії, вони швидко дозрівають. Це змінює ставки. Це вже не тільки обговорення для вашого технічного директора або віце-президента з інженерії. Воно вимагає уваги бізнес-лідерів, CIO, CISO та головних офіцерів з штучного інтелекту. Коли ці агенти починають взаємодіяти з конфіденційними даними та виконувати міжфункціональні робочі потоки, організації повинні забезпечити, щоб управління, управління ризиками та стратегічне планування були інтегровані в розмову з самого початку.

Що потрібно зробити далі

Прийшов час停止ити думати про цих агентів як про чат-боти та почати думати про них як про автономні системи з реальними вимогами безпеки. Це означає:

  • Границі привілеїв агента: Як і ви не запускаєте кожен процес з правами root, агентам потрібен доступ до інструментів і команд у межах їх повноважень.
  • Управління спільною пам’яттю: Тривалість контексту повинна бути аудитованою, версіонованою та зашифрованою — особливо коли вона спільна між сесіями або командами.
  • Симуляція атак та червоні команди: Ін’єкція запиту, отруєння пам’яті та неправильне використання команди повинні бути розглянуті як першочергові загрози безпеки.
  • Навчання працівників: Безпечне та ефективне використання агентів штучного інтелекту — це новий навик, і людям потрібне навчання. Це допоможе їм бути більш продуктивними та допоможе зберегти вашу інтелектуальну власність більш безпечно.

Коли ваша організація занурюється в інтелектуальних агентів, часто краще йти, ніж бігти. Зберіть досвід з агентами, які мають обмежений обсяг, обмежені дані та обмежені повноваження. Навчіться будувати організаційні обмеження та досвід, а потім перейдіть до більш складних, автономних та амбітних випадків використання.

Ви не можете сидіти поза цим

Чи ви головний офіцер з штучного інтелекту, чи головний інформаційний офіцер, у вас можуть бути різні початкові проблеми, але ваш шлях вперед однаковий. Продуктивні вигоди від кодових агентів і автономних систем штучного інтелекту занадто привабливі, щоб їх ігнорувати. Якщо ви все ще приймаєте “чекайте та подивіться” підхід, ви вже відстаєте.

Ці інструменти вже не експериментальні — вони швидко стають стандартними. Компанії, такі як Microsoft, генерують величезну частку коду через штучний інтелект та просунутий свій конкурентний позицію в результаті. Інструменти, такі як Claude Code, скорочують час розробки та автоматизують складні робочі потоки у багатьох компаніях по всьому світу. Компанії, які навчилися безпечно використовувати цих агентів, будуть доставляти швидше, адаптуватися швидше та обходити своїх конкурентів.

Але швидкість без безпеки — це пастка. Інтеграція автономних агентів у ваш бізнес без належного контролю — це рецепт для збоїв, витоків даних та регулювання відштовху.
Це момент для дії — але діяти розумно:

  • Запустіть пілотні програми агентів, але вимагайте кодових оглядів, дозволів інструментів та ізоляції.
  • Обмежте автономію до необхідного — не кожному агенту потрібен доступ root або довгострокова пам’ять.
  • Аудитуйте спільну пам’ять та виклики інструментів, особливо під час довгоживучих сесій або спільних контекстів.
  • Симулюйте атаки за допомогою ін’єкції запиту та неправильного використання команди, щоб виявити реальні ризики до того, як це зроблять атакувальники.
  • Навчіть ваших розробників та команд продукту про безпечні шаблони використання, включаючи контроль обсягу, поведінку відступу та шляхи ескалації.

Безпека та швидкість не є взаємовиключними — якщо ви будуєте з наміром.

Бізнеси, які ставляться до агентів штучного інтелекту як до основної інфраструктури, а не до іграшок або загроз, будуть процвітати. Інші будуть залишені для видалення безладу — або гірше, будуть дивитися з боку. Епоха агентів штучного інтелекту настав. Не просто реагуйте. Підготовтеся. Інтегруйте. Забезпечте.

mm

Стів Вілсон є головним офіцером з питань штучного інтелекту в Exabeam, де він очолює розробку передових кібербезпекових рішень, що базуються на штучному інтелекті, для глобальних підприємств. Як досвідчений виконавчий директор у сфері технологій, Вілсон провів свою кар’єру, проектуючи великомасштабні хмарні платформи та безпечні системи для організацій Global 2000. Він широко відомий у спільнотах штучного інтелекту та безпеки за зв’язок між глибокими технічними знаннями та реальними прикладами застосування в підприємствах. Вілсон також є автором Путівника розробника для безпеки великомасштабних мовних моделей (O’Reilly Media), практичного посібника з забезпечення безпеки систем GenAI у сучасних стеках програмного забезпечення.