Dyrektor generalny CertiK ostrzega przed zagrożeniami bezpieczeństwa agentów AI, gdy wdrożenie wyprzedza izolację

Ostrzeżenie dotyczące zagrożeń bezpieczeństwa agentów AI staje się coraz bardziej wyraźne — i pilne. Ronghui Gu, współzałożyciel i dyrektor generalny CertiK, twierdzi, że pośpiech we wdrażaniu autonomicznych agentów AI w aplikacjach, sieciach i systemach finansowych przebiega szybciej niż podstawowe mechanizmy kontroli bezpieczeństwa niezbędne do ich opanowania.

Ma to znaczenie, ponieważ systemy te nie ograniczają się już wyłącznie do odpowiadania na polecenia w oknie czatu. Gu mówi, że coraz częściej uzyskują one pozwolenie na odczytywanie lokalnych plików, wywoływanie zewnętrznych narzędzi, uruchamianie przepływów pracy oraz interakcję z wrażliwymi kontami. W praktyce oznacza to, że skompromitowany agent to nie tylko wadliwy asystent. Może stać się wewnętrznym zagrożeniem z dostępem do danych uwierzytelniających, poczty e-mail, a nawet infrastruktury finansowej.

Przekaz Gu jest dobitny: nie wdrażaj ich masowo w taki sposób. Twierdzi, że agenci AI powinni być skanowani pod kątem wirusów i izolowani przed uzyskaniem dostępu do wrażliwych danych lub krytycznych systemów. Bez tego rozdzielenia ostrzega, że użytkownicy i firmy mogą przekazywać oprogramowaniu szeroki dostęp wewnętrzny, którym można manipulować znacznie łatwiej, niż wielu się spodziewa.

Dlaczego CertiK twierdzi, że zagrożenia bezpieczeństwa agentów AI narastają szybko

Zdaniem CertiK obecna fala wdrożeń agentów tworzy poważny problem bezpieczeństwa. Gu opisuje to jako pośpiech, który generuje ogromny dług bezpieczeństwa, napędzany entuzjazmem dla automatyzacji przy jednoczesnym opóźnieniu podstawowych zabezpieczeń.

Centralnym elementem tego ostrzeżenia jest zaufanie. Wiele narzędzi AI o otwartym kodzie źródłowym, jak twierdzi Gu, jest traktowanych jako bezpieczne, ponieważ działają lokalnie lub łączą się przez znane kanały, w tym standardowe aplikacje czatowe, takie jak WhatsApp. Jednak lokalny dostęp nie czyni agenta godnym zaufania. Gdy użytkownicy pozwalają agentowi przeglądać pamięć masową, historię wykonywania zadań lub korzystać z danych uwierzytelniających do celów osobistych i służbowych, oprogramowanie może sięgać głęboko do najbardziej wrażliwych obszarów systemu.

To jeden z powodów, dla których zagrożenia bezpieczeństwa agentów AI przyciągają coraz więcej uwagi poza typowym środowiskiem cyberbezpieczeństwa. Nie chodzi tylko o złośliwe oprogramowanie w starym sensie. Chodzi o autonomiczne systemy, którym przyznaje się uprawnienia do działania, pobierania informacji i poruszania się po przepływach pracy, zanim zostaną właściwie sprawdzone lub ograniczone.

Jak nieizolowani agenci AI mogą zostać przejęci

Ostrzeżenie CertiK skupia się szczególnie na tym, jak łatwo można przekierować te systemy. Gu mówi, że nieizolowani agenci mogą ujawniać lokalne pliki, dane uwierzytelniające, konta e-mail i konta finansowe. Gdy agent ma taki poziom dostępu, szkody wynikające z kompromitacji przestają być teoretyczne. Zmanipulowany bot może być w stanie eksfiltrować dane lub inicjować nieautoryzowane przelewy środków.

Ataki polegające na wstrzykiwaniu poleceń przez zwykłe pliki

Jednym z najwyraźniejszych zagrożeń są ataki polegające na wstrzykiwaniu poleceń. Według Gu ukryte instrukcje mogą być osadzone w treściach wyglądających na nieszkodliwe, w tym w stronach internetowych, dokumentach PDF lub przychodzących wiadomościach e-mail.

Gdy agent AI odczytuje tę treść w celu wykonania zadania, może nie odróżnić zaufanych instrukcji od niezaufanych danych zewnętrznych. W tym momencie zachowanie agenta może zostać po cichu przekierowane. Na ekranie nie pojawia się żaden oczywisty monit złośliwego oprogramowania. Nie wyskakuje żadne dramatyczne ostrzeżenie. Zamiast tego system zaczyna wykonywać instrukcje atakującego, a nie pierwotne zasady.

To jeden z głównych powodów, dla których ta kwestia jest ważna właśnie teraz. Dla wielu użytkowników nieszkodliwie wyglądający dokument lub wiadomość e-mail nie wydaje się zagrożeniem na poziomie systemowym. Jednak w przypadku autonomicznych narzędzi te zwykłe pliki mogą stać się kanałem, przez który agent zostaje przejęty.

Złośliwe umiejętności i fałszywe zależności

CertiK twierdzi również, że ekosystem wokół agentów już wykazuje głębsze strukturalne słabości. Analiza firmy ujawniła setki krytycznych porad bezpieczeństwa i niezałatanych typowych podatności i ekspozycji, czyli CVE, w strukturach agentów, a także ujawnione dane uwierzytelniające.

Ponadto Gu mówi, że CertiK odkrył złośliwe umiejętności, fałszywe instalatory i podobne pakiety zależności w otwartych centrach narzędzi agentów. To nie są tylko błędy w kodowaniu. Wskazują na środowisko, w którym atakujący mogą ingerować w sposób budowania, aktualizowania i rozszerzania agentów.

To, co utrudnia wykrycie tych zagrożeń, to sposób ich działania. Gu mówi, że złośliwe wtyczki mogą omijać tradycyjne skanery antywirusowe, ponieważ wpływają na zachowanie agenta za pomocą standardowego języka naturalnego, a nie starszych wzorców opartych na sygnaturach. Mówiąc prościej, agent może zostać nakłoniony do zrobienia czegoś niewłaściwego, bez żeby atak wyglądał jak klasyczne złośliwe oprogramowanie.

Dlaczego CertiK promuje architekturę Zero Trust

Odpowiedzią Gu jest architektura Zero Trust z ciągłą weryfikacją. Zamiast zakładać, że agent, wtyczka lub zależność jest bezpieczna po zainstalowaniu, każde polecenie i każda zależność powinny być sprawdzane na bieżąco.

Takie podejście odpowiada skali problemu, który CertiK twierdzi, że obserwuje. Analiza firmy ujawniła:

• setki krytycznych porad bezpieczeństwa
• niezałatane CVE
• ujawnione dane uwierzytelniające w strukturach agentów
• ścieżki ataków obejmujące lokalne pliki, pocztę e-mail i infrastrukturę finansową

Tu właśnie ujawnia się szersze znaczenie. Zagrożenia bezpieczeństwa agentów AI dotyczą nie tylko jednej złej aplikacji czy jednego skompromitowanego użytkownika. Wskazują na model, w którym autonomia rozszerza się, zanim izolacja, skanowanie i weryfikacja staną się standardową praktyką. Jeśli narzędzia te mają obsługiwać pieniądze, przepływy pracy w firmach lub prywatne dane, zaufanie nie może być traktowane jako ustawienie domyślne.

Istnieje również wątek kryptowalutowy, który pomaga wyjaśnić, dlaczego CertiK bije teraz na alarm. Gu mówi, że firma zaobserwowała szybkie, efemeryczne oszustwa onchain zaprojektowane w celu atakowania botów handlowych AI i zautomatyzowanych systemów agentów. Oszustwa te mogą trwać zaledwie 10 minut lub kilka godzin, po czym znikają.

Ten szczegół jest wymowny. Systemy sterowane maszynowo mogą działać z prędkością, która pozostawia mało czasu na ludzką kontrolę, a atakujący wydają się dostosowywać do tej rzeczywistości. W efekcie zautomatyzowani agenci stają się celami zautomatyzowanych oszustw. Rezultatem jest nowy rodzaj cyklu ataków maszyna na maszynę, szczególnie w środowiskach powiązanych z aktywnością onchain i automatycznym przepływem środków.

Dlaczego ostrzeżenie CertiK wyróżnia się właśnie teraz

Ostrzeżenie CertiK pojawia się w momencie, gdy agenci AI są reklamowani jako narzędzia zwiększające produktywność i cyfrowi pomocnicy. Jednak argumentem Gu jest to, że możliwości wyprzedzają możliwości ograniczania. Im bardziej tym systemom pozwala się dotykać plików, danych uwierzytelniających i pieniędzy, tym mniej miejsca pozostaje na luźne założenia dotyczące bezpieczeństwa.

Jego recepta jest prosta: skanuj agentów pod kątem wirusów, izoluj ich przed przyznaniem dostępu i przestań traktować autonomię jako domyślnie bezpieczną.

Jeśli ta rada zostanie zignorowana, kolejna fala ataków może nie polegać najpierw na oszukiwaniu ludzi. Może uderzyć bezpośrednio w agentów działających w ich imieniu.