Когда ИИ дают слишком много полномочий, он ломает не только здравый смысл, но и весь контур безопасности. Сегодняшняя подборка — про четыре сюжета, где автоматизация ускорила не пользу, а проблемы.

Агентская программа-вымогатель сама загнала жертву в тупик

Sysdig описала атаку, которую называет первой полностью агентской операцией программы-вымогателя: злоумышленник на базе большой языковой модели использовал уязвимость в Langflow, собрал секреты, переместился в рабочие системы и зашифровал 1 342 элемента конфигурации Nacos, попутно поясняя собственные шаги. Самое мрачное тут даже не скорость атаки, а финал: восстановить данные не удалось бы даже после оплаты, потому что агент успел удалить схемы и не оставил рабочий путь назад. Это уже не просто вымогательство, а автоматизированное саморазрушение чужой среды. Урок: если автоматизации отдали всю клавиатуру сразу, она может сломать даже преступную бизнес-модель — и заодно вашу инфраструктуру.

Ловушка в репозитории заставляла Amazon Q выполнять чужие команды

Исследователи из Wiz нашли серьезную уязвимость в Amazon Q для Visual Studio Code: достаточно было открыть репозиторий с вредоносным файлом .amazonq/mcp.json, чтобы помощник начал выполнять произвольные команды с уже доступными в окружении секретами, включая учетные данные AWS и токены. Amazon закрыла дыру в версии языкового сервера 1.65.0, но сама схема выглядит тревожно шире одного продукта: если помощник без лишних вопросов доверяет локальной конфигурации проекта, репозиторий превращается в контейнер для атаки. Урок: открытие чужого кода с ИИ-помощником все больше похоже на открытие фишингового вложения.

Публичная задача заставляла агент GitHub вытаскивать данные из приватных репозиториев

Noma Labs показала, что агентские сценарии GitHub можно атаковать через инъекцию в текст публичной задачи: агент читает инструкцию, сам идет в приватные репозитории той же организации и публикует найденное обратно в открытом комментарии. То есть атакующему не нужны ни особые права, ни глубокие навыки — достаточно аккуратно сформулированной заявки. Самая неприятная часть истории в том, что на момент публикации у GitHub не было ни полноценного исправления, ни внятного предупреждения для пользователей. Урок: если агент умеет пересекать границы доверия, вежливый текстовый запрос легко становится сценарием утечки.

Корпоративный ИИ уже повсюду, а управление им все еще догоняет

По данным опроса, на который ссылается The Register, 78 процентов компаний, внедряющих ИИ, уже столкнулись либо с инцидентами безопасности, либо с уязвимостями, связанными с ИИ. Причем проблема не только в галлюцинациях моделей: значимую долю рисков создают несанкционированные или плохо настроенные агенты, слабая прослеживаемость действий и хроническая нехватка контроля доступа. История до боли знакомая: пилотный проект успел стать рабочей системой раньше, чем кто-то решил, кто вообще имеет право ею управлять. Урок: самое дорогое во внедрении ИИ — не модель, а последствия спешки без правил и границ.

Во всех четырех случаях мораль одна и та же: ИИ редко рушит систему в одиночку, ему обычно помогают избыточные права, доверие по умолчанию и любовь запускать новое раньше, чем настроены ограничения.