Назад в ленту

69% предприятий рискуют: AI-агенты делят общие ключи, и Cisco нацелилась на этот слой

Один API-ключ на пять AI-агентов — звучит как экономия, но на деле это бомба замедленного действия. Если одного из них взломают, злоумышленник мгновенно получает доступ ко всем разрешениям, накопленным каждым агентом, использующим этот ключ. И самое паршивое — forensic trail обрывается на уровне учётных данных: пять агентов на одном аккаунте не оставляют и следа, кто именно сделал что. Добро пожаловать в реальность, где 69% предприятий уже делят ключи между агентами где-то в своих deployment. Именно эта цифра объясняет, почему за последний год Palo Alto Networks, CrowdStrike и Cisco совместно потратили более $22 млрд на безопасность агентов — и целятся они как раз в тот слой, который большинство опрошенных компаний ещё даже не построили.

Palo Alto Networks закрыла сделку по покупке CyberArk 11 февраля за $21,1 млрд — крупнейшее приобретение в истории компании. CrowdStrike за $740 млн купила SGNL, платформу runtime authorisation, и уже к 15 июня выпустила первый продукт: Continuous Identity for AI Agents. Интеграция заняла меньше года — теперь каждое действие агента валидируется в реальном времени: кто владелец, кто вызывает, какой риск-профиль устройства. Cisco объявила о намерении приобрести Astrix Security (специалист по non-human identity) 4 мая — по слухам, за $400 млн.

Для директора по безопасности этот опрос — не просто тренд, а вопрос к совету директоров. Данные обнажают то, чего не показывают конкуренты: какие компании в зоне наибольшего риска. VentureBeat выпустил первый взгляд на Q2 Agentic Security report: 107 квалифицированных респондентов из организаций с числом сотрудников более 100. Полный отчёт будет представлен на конференции VB Transform 14–15 июля. 45% респондентов — конечные лица, принимающие решения по закупкам AI. Выборка смещена в сторону среднего рынка, так что цифры отражают скорее текущую ситуацию с безопасностью агентов, а не взгляд из самых крупных корпораций. Более половины (54%) уже пережили инцидент или почти-инцидент с безопасностью агента: 18% подтвердили взлом, 36% поймали near-miss до того, как произошла утечка. Команды безопасности останавливают большинство событий на последнем рубеже, но остальные цифры показывают, насколько тонка эта грань.

Ваши агенты делят учётные данные

Только 32% предприятий дают каждому AI-агенту собственный scoped identity с чёткими правами. Почти половина (48%) сообщают, что некоторые агенты имеют scoped identity, но многие всё ещё делят ключи. Ещё 32% говорят, что агенты в основном работают на общих API-ключах или одолженных человеческих и сервисных аккаунтах. Вопрос допускал множественный выбор — 24 из 107 выбрали несколько вариантов, поэтому сумма трёх категорий 112%. После дедупликации 74 организации (69%) отметили credential sharing хотя бы в одном ответе.

Одна цифра объясняет, почему поглощения нацелены именно на этот слой. Общий ключ превращает один скомпрометированный агент во множество. Исследования CyberArk показывают, что machine identities уже в 82 раза превышают количество людей в организациях по всему миру, и агенты — самая быстрорастущая категория. Cisco пришла к тому же диагнозу, покупая Astrix: основатели строили компанию вокруг API-ключей, сервисных аккаунтов и OAuth-токенов. В своём объявлении Cisco называет их учётными данными, которые AI-агенты «используют (и злоупотребляют)» для масштабного выполнения работы.

Адам Мейерс, старший вице-президент по counter adversary operations в CrowdStrike, описал механизм прямо: «У некоторых AI-систем есть собственные идентификаторы, но в других случаях люди передают свою идентичность AI, чтобы тот действовал от их имени — и это ещё сильнее мутит воду, делая всё крайне сложным». Муть и есть суть: когда идентичность общая, атрибуция умирает вместе с ней.

Масштаб уязвимости растёт, а изоляция — нет

49% предприятий принудительно ограничивают разрешения на runtime, 47% мониторят и логируют активность агентов — это помогает снизить количество инцидентов. Но только 30% изолируют (sandbox) свои самые рискованные агенты. Именно sandbox ограничивает blast radius, когда первые два слоя защиты проваливаются. Изоляция — это то, что не даёт одному скомпрометированному агенту превратиться в инцидент уровня всего deployment. Предприятия финансируют детекцию и сопротивление, а вот слой изоляции практически не существует.

Самый острый вывод опроса, который не встречается ни в одном отчёте вендоров, появляется при разбивке по размеру компаний. Уровень инцидентов для компаний с 101–1000 сотрудников — 49%, но с ростом штата более 1000 человек он подскакивает до 63%. А sandbox isolation, наоборот, падает с 35% до 20% на крупных предприятиях. На диаграмме выше ещё тоньше: красная линия — инциденты и near-misses, тёмно-синяя — изоляция. На отрезке 101–250 сотрудников разрыв всего 7 пунктов, но выше 5000 сотрудников он раздувается до 60 пунктов. Крупные предприятия запускают больше агентов на бо́льшем количестве систем, что ведёт к росту инцидентов, а sandbox — инженерный проект, который мог бы их сдерживать — остаётся без финансирования. У самых больших компаний — наименьшая изоляция вокруг агентов. И именно на них нацелены сделки Palo Alto Networks, Cisco и CrowdStrike: там, где уровень инцидентов максимален, а защита — тоньше всего.

Охрана от того, кто поставил модель

Провайдеры моделей — вот текущий слой безопасности. Встроенные guardrails OpenAI лидируют с 51%, Google Cloud — 36%, Microsoft Azure (Purview и Copilot Studio DLP) — 35%, управляемые controls Anthropic — 29%. 82% респондентов называют решение от провайдера модели или hyperscaler своим единственным основным средством защиты агентов. Специализированные вендоры — в единицах процентов: Prisma AIRS от Palo Alto Networks — 7%, CrowdStrike — 6%, Okta for AI Agents — 4%. Zenity и платформы для non-human identity — по 3%. Microsoft Entra Agent ID — самый проникнутый identity-specific control в наборе данных (13%), единственный от hyperscaler, и он всё равно вне первой четвёрки. Лишь 5% предприятий не используют вообще никаких инструментов для агентов — у остальных они уже предустановлены.

Встроенные controls лидируют, потому что поставляются бесплатно и включены по умолчанию. Большинство фильтрует промпты и выводы, но не даёт агенту собственной идентичности и не изолирует его. Hyperscaler’ы продают продукты уровня идентичности — Entra Agent ID есть в наборе данных (13%), но внедрение остаётся низким. Два контроля, которые сильнее всего снижают количество инцидентов — scoped identity и isolation — отсутствуют в стеке по умолчанию.

Фильтры промптов и вывода оценивают, выглядит ли вызов злонамеренным. Это проблема намерения (intent), а намерение нельзя решить на уровне языка. Элия Зайцев, CTO CrowdStrike, провёл черту в интервью на RSAC 2026: «Наблюдать реальные кинетические действия — структурированная, решаемая задача. Намерение — нет». Датчик Falcon от CrowdStrike, включая функцию Win Grayware Confidence 60d, проходит по дереву процессов на конечной точке и отслеживает, что агенты сделали, а не что они «намеревались» сделать. Scoped identity и граница изоляции дают этому сенсору что-то для отслеживания — в отличие от общего ключа на встроенном guardrail.

Облачная безопасность прошла тот же цикл десять лет назад — и Palo Alto Networks, CrowdStrike и Wiz построили многомиллиардные бизнесы на пробелах, оставленных нативными облачными controls. Безопасность агентов идёт по тому же пути, только быстрее. Неправильно настроенное хранилище лежало открытым, пока человек не заметил. Неправильно настроенный агент эксплуатирует собственное избыточное разрешение при каждом запуске — и человека рядом нет. Меррит Баер, CSO Enkrypt AI и бывший заместитель CISO в AWS, сказал в интервью: «Предприятия верят, что они "одобрили" AI-вендоров, но на самом деле они одобрили интерфейс, а не лежащую в основе систему. Реальные зависимости лежат на один-два слоя глубже — и именно они дают сбой под нагрузкой».

Удобно, неубедительно и уже смотрят на рынок

Здесь противоречие, достойное слайда на конференции. Предприятия оценивают свои инструменты безопасности агентов на 4,2 из 5, соотношение цена/качество — 4,1, лёгкость внедрения — 3,9. Эти показатели заставили бы завидовать большинство SaaS-вендоров. Но только 35% считают, что их AI-защита опережает атакующих с AI; 32% называют её примерно равной; 21% говорят, что атакующие впереди, и ещё 21% — что рано судить. Бюджеты подтверждают: 46% выделяют 6–10% бюджета безопасности на защиту агентов, а целая треть тратит 5% или меньше. Половина выборки уже имела инцидент или near-miss — но финансирование не соответствует уровню угрозы.

59% планируют принять, добавить или заменить средства защиты агентов в течение 12 месяцев, и 29% — сделать это в текущем квартале. OpenAI — лидер по будущему интересу (34%), за ним Google (30%), Anthropic (29%) и Azure (25%). Вендоры привлекают больше интереса в перспективе, чем их текущий однозначный процент внедрения. Удовлетворённые клиенты не перетряхивают стеки так быстро — если только не понимают, что текущий стек — временный.

Три шага для директоров по безопасности

1. Проведите инвентаризацию учётных данных каждого агента уже в этом квартале. Сопоставьте, какие агенты делят ключи друг с другом, а какие работают на одолженных человеческих или сервисных идентификаторах. Цель — не один ключ на агента. Агенты, взаимодействующие с несколькими системами, требуют несколько scoped identities. Цель — ноль общих учётных данных между агентами и ноль одолженных человеческих идентификаторов. 13% опрошенных уже используют Microsoft Entra Agent ID. Okta for AI Agents и специалисты по non-human identity продают аналоги. Общие и одолженные ключи — первое, что нужно устранить.

2. Изолируйте наиболее рискованных агентов в первую очередь. Sandbox — наименее внедрённый контроль (30%) и единственный, который сдерживает радиус поражения, когда защита всё-таки пала. Ранжируйте агентов по чувствительности того, к чему они имеют доступ, и изолируйте верх списка. В компаниях с числом сотрудников более 1000, где изоляция падает до 20%, это действие с наибольшей отдачей во всём наборе данных. Sandbox не требует замены агента или платформы — нужно лишь политическое решение и слой изоляции.

3. Приведите бюджет в соответствие с частотой инцидентов. Треть предприятий финансирует безопасность агентов на уровне 5% или менее от бюджета безопасности, хотя более половины уже пережили инцидент или near-miss. Сегодня лишь 9% выделяют более 25%. Полный отчёт раскрывает экспозицию и изоляцию по размеру компаний, показывая, какие диапазоны несут наибольший риск и наименьшую защиту.

Вопрос к совету директоров проще: если один из наших AI-агентов будет скомпрометирован сегодня днём, к каким системам он получил доступ и чьи учётные данные он использовал? Для 69% предприятий, запускающих агентов на общих ключах, ответ — пожатие плеча. След обрывается на ключе.

Полный отчёт Q2 Agentic Security — с полной матрицей вендоров, разбивкой по отраслям и всеми данными за этими диаграммами — будет представлен 14–15 июля. Открытый вопрос, который он оставляет: закроют ли предприятия пробел в безопасности агентов на своих условиях, или за них это сделает подтверждённая утечка?

[SITE_END]

Справка по теме (FAQ)
Почему раздавать один API-ключ на несколько AI-агентов опасно?
Если один агент со скомпрометированным ключом взломают, злоумышленник получает доступ ко всем разрешениям, накопленным каждым агентом на этом аккаунте. Учётные данные не маркируются по агентам, поэтому восстановить цепочку событий (кто, что и когда сделал) практически невозможно. По данным TechLoot, 69% предприятий уже делят ключи между агентами, а machine identities в 82 раза превышают количество людей в организациях. Общий ключ превращает один взлом в множественный инцидент.
Какие шаги предпринять, если агенты уже работают на общих учётных данных?
TechLoot рекомендует провести инвентаризацию в текущем квартале: сопоставить, какие агенты делят ключи друг с другом или используют одолженные человеческие идентификаторы. Цель — ноль общих или одолженных учётных данных. Для агентов, взаимодействующих с несколькими системами, создайте несколько scoped identities. На рынке есть готовые решения: Microsoft Entra Agent ID (используется 13% опрошенных), Okta for AI Agents и платформы non-human identity.
Какие вендоры безопасности сейчас активнее всего решают проблему identity агентов?
Palo Alto Networks приобрела CyberArk за $21,1 млрд, CrowdStrike купила SGNL за $740 млн и выпустила продукт Continuous Identity for AI Agents, а Cisco объявила о покупке Astrix Security за $400 млн. Эти сделки направлены именно на тот слой, где большинство компаний только строят защиту: scoped identity и sandbox isolation. Встроенные guardrails провайдеров моделей (OpenAI — 51%, Google Cloud — 36%, Azure — 35%) решают проблему намерения, но не дают агенту собственной идентичности, поэтому специализированные identity-контроли остаются самым дефицитным элементом стека.
Почему высокие оценки существующих средств защиты не снижают количество инцидентов?
Предприятия оценивают свои инструменты безопасности агентов на 4,2 из 5, но при этом 54% уже пережили инцидент или near-miss. По данным TechLoot, бюджеты не соответствуют угрозе: треть компаний тратит на защиту агентов менее 5% бюджета безопасности, а полноценную изоляцию (sandbox) внедрили только 30% опрошенных. Крупные предприятия с числом сотрудников от 5000 изолируют агентов лишь в 20% случаев, хотя уровень инцидентов у них достигает 63%. Фильтрация промптов и выводов не решает проблему общей идентичности, поэтому текущий стек большинства компаний — временный.