Zero Trust для AI-агентов: как безопасно давать LLM доступ к инструментам, данным и действиям

Вот важная новость с фронта ИИ: srzybnev 21 минуту назад Zero Trust для AI-агентов: как безопасно давать LLM доступ к инструментам, данным и действиям Средний 9 мин 728 Инженерные системы * Информационная безопасность * Искусственный интеллект Машинное обучение * Облачные сервисы * Обзор AI-агенты уже вышли за пределы чат-ботов. Они читают документы, вызывают API, анализируют логи, создают тикеты, готовят правки в коде и выполняют многошаговые задачи без ручного подтверждения каждого шага. Это делает их полезными, но меняет модель риска: агент с инструментами становится явным риском внутри инфраструктуры.

Главная идея Zero Trust для таких систем проста: агенту нельзя доверять по умолчанию только потому, что он запущен внутри компании или работает от имени легитимного пользователя. Его идентификация, права, вызовы инструментов (tool calls), память и действия нужно проверять так, будто компрометация рано или поздно случится. Идея для статьи была придумана после прочтения PDF от Anthropic Zero Trust for AI Agents.

Технические детали

Но все принципы изложенные в статье применимы к любому LLM-агенту: юридическому помощнику, SOC-агенту, агентам для разработки, RAG-системе, внутреннему ассистенту или многоагентному workflow. Меня зовут Сергей, я админ Похек и Похек AI. В этой статье я расскажу о Zero Trust для AI-агентов.

СодержаниеЧто такое AI-агенты и Zero TrustПочему агенты требуют отдельной модели безопасностиГлавные атаки на агентные системыДизайн-тест: атака невозможна или просто неудобнаМинимальный baseline безопасного агентаИнструменты, данные, память и наблюдаемостьКак внедрять по шагамЗащитные агенты и Agentic SOAR 1. Что такое AI-агенты и Zero TrustAI-агент — это LLM-система, которая получает цель, планирует шаги и вызывает внешние инструменты: файловую систему, браузер, базу данных, корпоративный API, почту, SIEM, CRM, ERP или тикет-систему. Если обычный чат-бот в основном генерирует ответ, агент может менять состояние внешних систем.

Отсюда и популярность. Бизнесу нужны не ответы ради ответов, а автоматизация цепочек: найти данные, сверить их, подготовить документ, обновить систему, собрать артефакты расследования и передать человеку готовый результат. Примеры применения:юридическая сфера: анализ договоров, поиск рискованных формулировок, сравнение редакций, черновики правок;операционная деятельность: обработка заявок, обновление CRM/ERP, отчеты, внутренние ассистенты для поддержки;кибербезопасность: triage алертов, анализ логов, проверка уязвимых версий, подготовка отчёта об инциденте, помощь в устранении последствий.

Zero Trust — это архитектурный подход, при котором сеть, пользователь, сервис или агент не получают доверие автоматически. NIST SP 800-207 описывает Zero Trust как сдвиг от статического сетевого периметра к постоянной проверке пользователей, устройств, приложений, данных и ресурсов.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.