Agentic SAMM: безопасная разработка, когда разработчик больше не только человек

В сфере искусственного интеллекта произошло заметное событие. sgordey 7 минут назад Agentic SAMM: безопасная разработка, когда разработчик больше не только человек 22 мин 110 Информационная безопасность * Управление проектами * Управление разработкой * Мнение Перевод Автор оригинала: Sergey Gordeychik Сергей ГордейчикРасширенная версия моего кейноута на ISC. Фреймворк и инструмент открыты — берите, ломайте и присылайте мне, что найдёте. com/scadastrangelove/asammИнструмент: github.

com/scadastrangelove/agent-auditЯ не буду начинать с определения. Определения — это способ спрятаться от проблемы. Я хочу начать с самой проблемы.

Технические детали

Тридцать лет почти всё, что мы строили в кибербезопасности, опиралось на одно допущение. Оно предполагало, что действующее лицо — человек. Это допущение ломается.

Разработчик становится системой — отчасти человеком, отчасти агентом. И почти каждый механизм защиты, которому мы доверяем, проектировался лишь под одну половину этой системы. Поэтому заголовок — «Agentic SAMM».

Но настоящая тема проще:Что происходит с безопасной разработкой, когда разработчик больше не только человек? Контроль ломается на границе, которую вы забыли смоделироватьЯ провёл карьеру на границах систем. Ранний интернет и массовые черви.

Отраслевые последствия

Безопасность приложений, где я понял, как ввод превращается в компрометацию. АСУ ТП и SCADA — где ошибка это не утечка данных, а физическая катастрофа. И теперь — ИИ и агентные системы.

Через всё это безопасность научила меня одному, и я хочу, чтобы вы это удержали:Контроль отказывает на границе, которую вы забыли смоделировать. Не на границе, которую плохо защитили. На границе, которую вообще не нарисовали.

На соединении, которое сочли изолированным. На вводе, который сочли доверенным. На действующем лице, которое сочли человеком.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.