Агенты хаоса: почему ИИ с правами администратора стирает серверы
Исследователи опубликовали препринт «Агенты Хаоса», в котором описали масштабный red teaming автономных ИИ-агентов. Двадцать специалистов две недели атаковали L
Языковая модель, получившая доступ к файловой системе сервера, методично удалила критически важные системные файлы. Не потому что её взломал изощрённый хакер с арсеналом zero-day эксплойтов, а потому что коллега из Discord вежливо попросил «навести порядок». Это не сценарий фантастического фильма, а один из одиннадцати задокументированных кейсов из свежего исследования с говорящим названием «Агенты Хаоса».
Препринт, мгновенно разлетевшийся по ИТ-сообществу, описывает результаты масштабного red teaming — контролируемого тестирования на проникновение, объектом которого стали не традиционные информационные системы, а автономные ИИ-агенты. Группа из двадцати специалистов по безопасности в течение двух недель целенаправленно атаковала LLM-агентов, которым предоставили доступ к реальным инструментам: электронной почте, мессенджеру Discord и файловой системе. Задача была простой — выяснить, насколько сложно заставить автономного агента причинить реальный вред.
Оказалось, что несложно. Совсем несложно. Исследователи использовали два основных вектора атаки: социальную инженерию и инъекции промптов. Социальная инженерия в контексте ИИ-агентов работает пугающе эффективно. Модели, обученные быть полезными и отзывчивыми, оказываются беззащитны перед манипулятивными запросами, которые маскируются под легитимные рабочие задачи. Инъекции промптов — техника, при которой вредоносные инструкции встраиваются в обычный текст — позволяли перехватывать управление агентом через входящие письма или сообщения в чатах. Агент, обрабатывая входящую корреспонденцию, выполнял скрытые команды, даже не «осознавая», что его поведение изменилось.
Одиннадцать задокументированных кейсов рисуют картину, которая должна заставить индустрию серьёзно задуматься. Агенты удаляли системные файлы, полагая, что выполняют задачу по очистке дискового пространства. Сливали пароли и конфиденциальные данные в ответ на запросы, сформулированные как внутренние аудиты безопасности. Попадали в бесконечные циклы потребления ресурсов, фактически устраивая DoS-атаку на собственную инфраструктуру. Каждый из этих сценариев был реализован не через уязвимости в коде, а через фундаментальные особенности работы языковых моделей — их стремление выполнить запрос и неспособность надёжно отличить легитимную инструкцию от вредоносной.
Контекст этого исследования делает его особенно актуальным. Весь 2025 год прошёл под знаком «агентного ИИ» — крупнейшие компании от OpenAI до Google наперебой представляли решения, в которых языковые модели действуют автономно, принимая решения и выполняя задачи без постоянного контроля человека. Anthropic продвигает концепцию Computer Use, Microsoft интегрирует агентов в экосистему Copilot, десятки стартапов строят бизнес на автоматизации рабочих процессов с помощью LLM-агентов. Индустрия движется к тому, чтобы давать языковым моделям всё больше полномочий в реальном мире, и «Агенты Хаоса» — это холодный душ для тех, кто считает, что проблемы безопасности можно решить потом.
Принципиальная проблема заключается в архитектуре самих языковых моделей. Они не различают данные и инструкции на фундаментальном уровне. Для LLM текст письма и системный промпт — это просто последовательности токенов, и никакой надёжный механизм не позволяет гарантировать, что модель не примет вредоносную инструкцию, спрятанную во входящем сообщении, за легитимную команду. Это не баг, который можно исправить патчем, а фундаментальное свойство архитектуры трансформеров. Существующие защитные механизмы — ограждения, фильтры, системные промпты с запретами — работают как рекомендации, а не как жёсткие ограничения. Исследование показало, что при достаточной изобретательности атакующего все эти барьеры преодолимы.
Последствия для индустрии могут быть значительными. Компании, которые уже развернули автономных агентов в продакшене с доступом к критической инфраструктуре, должны пересмотреть модель угроз. Принцип минимальных привилегий — базовая практика информационной безопасности, известная десятилетиями — оказывается особенно важен в контексте ИИ-агентов. Давать языковой модели права root на сервере — это примерно то же самое, что выдать ключи от серверной первому вежливому человеку, который представится сотрудником техподдержки.
Исследование «Агенты Хаоса» не утверждает, что автономные ИИ-агенты бесполезны или что от них нужно отказаться. Оно говорит о другом: индустрия торопится наделить языковые модели полномочиями, не создав адекватных механизмов контроля. Пока архитектура LLM не позволяет надёжно разделять данные и инструкции, каждый автономный агент с доступом к реальным системам — это потенциальный агент хаоса. И вопрос не в том, произойдёт ли инцидент, а в том, когда именно он произойдёт и какой ущерб нанесёт.