Безопасность агентного ИИ: анонсы Microsoft на RSAC 2026

Мы привыкли думать об ИИ как об инструменте, который отвечает на вопросы или генерирует текст. Но за последние пару лет картина изменилась: всё больше систем строится на так называемых агентах – программах, которые не просто отвечают, а действуют. Они запускают задачи, обращаются к внешним сервисам, принимают решения в несколько шагов и при этом нередко работают автономно, без участия человека на каждом этапе.

Это удобно. Но вместе с этим возникает вопрос, который раньше стоял не так остро: а кто следит за тем, что эти агенты делают? И что происходит, если что-то пойдёт не так?

Почему защита агентного ИИ требует отдельного подхода

Почему агентный ИИ – это отдельная история с точки зрения безопасности

Обычный чат-бот ограничен: он получил запрос, сформировал ответ, на этом всё. Агентные системы устроены иначе. Агент может получить доступ к данным, выполнить действие, передать управление другому агенту, снова что-то проверить – и всё это в рамках одной задачи.

Проще говоря, чем больше шагов и чем больше автономии, тем больше точек, в которых что-то может пойти не так. Это не значит, что агентный ИИ опасен по определению, это значит, что к нему нужен другой подход к защите.

Именно вокруг этого и строится то, что Microsoft анонсировала на конференции RSAC 2026.

Три направления безопасности агентного ИИ от Microsoft

Три направления, одна логика

Microsoft сформулировала свой подход к безопасности агентного ИИ через три задачи: защита самих агентов, защита их фундамента (то есть данных, моделей и инфраструктуры, на которых они работают) и использование агентов как инструмента защиты – то есть применение ИИ для обнаружения угроз и реагирования на них.

Это не три отдельных продукта – это логика, которая, по задумке, должна пронизывать всю ИИ-инфраструктуру организации. Безопасность не накручивается сверху, а встраивается на каждом уровне.

Когда агент – это и цель атаки, и возможный источник риска

Агенты, как и любое программное обеспечение, могут быть уязвимы. Их можно попытаться обмануть через входящие данные, заставить выполнить нежелательные действия или использовать как точку входа в более широкую инфраструктуру.

Одна из новых возможностей, которые Microsoft представила, – это защита агентов от так называемых атак через внедрение инструкций. Это когда вредоносные данные, поступающие агенту извне (например, из документа или веб-страницы), содержат скрытые команды, которые агент может непреднамеренно выполнить. Такой вид угрозы специфичен именно для агентных систем и фактически не существовал в эпоху простых чат-ботов.

Помимо этого, появляются инструменты для контроля того, что агент вообще имеет право делать: к каким данным обращаться, какие действия выполнять, с какими внешними сервисами взаимодействовать. Это похоже на принцип минимальных привилегий, который давно применяется в классической кибербезопасности, – только адаптированный под агентные сценарии.

Фундамент тоже нуждается в защите

Агент настолько надёжен, насколько надёжна среда, в которой он работает. Если модель, на которой он основан, скомпрометирована или если данные, к которым он обращается, содержат что-то вредоносное, – никакой контроль поведения агента уже не поможет.

Поэтому отдельное внимание уделяется защите самих ИИ-моделей и данных: мониторинг того, как модели используются, обнаружение аномалий в их поведении, контроль над тем, какие данные попадают в обучающие процессы или становятся доступны агентам в ходе работы.

Если коротко: недостаточно защитить то, что агент делает. Нужно ещё защитить то, из чего он сделан и на чём работает.

ИИ как союзник в защите

Третье направление – пожалуй, самое интересное концептуально. Microsoft делает ставку не только на то, чтобы защищать ИИ-системы, но и на то, чтобы использовать их для защиты всего остального.

Агенты, заточенные под задачи безопасности, могут мониторить инфраструктуру, выявлять подозрительную активность, приоритизировать инциденты и даже предлагать варианты реагирования – причём делать это быстрее, чем это физически возможно для команды людей.

Это не замена специалистам по безопасности, а скорее усиление: агент берёт на себя рутинную часть – просеивание огромного потока событий, – а человек сосредотачивается на решениях, требующих контекста и суждения.

Почему безопасность ИИ-агентов актуальна уже сейчас

Почему это важно именно сейчас

Агентный ИИ перестал быть экспериментальной концепцией. Организации уже сегодня строят на его основе реальные рабочие процессы: автоматизацию операций, поддержку клиентов, внутренние ассистенты с доступом к корпоративным данным. Чем шире проникновение агентов, тем острее встаёт вопрос: а продумана ли безопасность?

Исторически так бывает, что безопасность подтягивается после того, как технология уже распространилась. RSAC 2026 – это сигнал о том, что по крайней мере часть индустрии пытается не повторять эту ошибку.

Ни одна система не бывает защищена абсолютно, и агентный ИИ не исключение. Но разница между «безопасность встроена с самого начала» и «безопасность добавлена потом» – принципиальная. И именно на этой разнице Microsoft строит свою позицию в новом ИИ-ландшафте.