Как меняются бюджеты безопасности ИИ#
Расходы на безопасность больше не строятся вокруг разрозненных инструментов. Фокус смещается к управлению жизненным циклом ИИ-систем, встроенных в цепочки поставки ПО. Триггер изменений — agentic AI: системы, которые не только пишут код, но и выполняют действия в продакшене. Классическая AppSec-модель предполагала ручной ревью и статические пайплайны. Это предположение перестает работать.
Повторяющийся сценарий отказа выглядит одинаково. Инструменты видимости показывают, что существует, но не показывают поведение в runtime. Агент может выбрать внешний инструмент, вызвать MCP-сервер или объединить разрешённые действия в небезопасный сценарий без нарушения отдельного правила. Риск возникает из композиции, а не из отдельных событий.
Бюджеты теперь делятся на два направления. Первое — защита agentic-разработки, где ИИ генерирует код и подтягивает зависимости. Второе — защита продакшн-агентов, которые взаимодействуют с пользователями, API и внутренними системами. Это части одной цепочки поставки ПО, но уязвимости проявляются по-разному.
Почему одной видимости недостаточно#
Видимость часто воспринимается как базовая инвестиция, но она фиксирует состояние, а не поведение. Она инвентаризирует модели, API и паттерны использования. Она не предотвращает небезопасное выполнение.
Кодирующий агент может внедрить скомпрометированную зависимость во время выполнения. Продакшн-агент может передать чувствительные данные через цепочку формально разрешённых действий. Это не задачи детекции. Это задачи принудительного контроля.
Видимость без enforcement не является управлением. Это наблюдение после инцидента.
Защита агентов в пайплайнах разработки#
Agentic-разработка создаёт три зоны риска, которые традиционные AppSec-инструменты не контролируют полностью: что агенты используют, что они делают и что они генерируют.
- Что используют агенты: MCP-серверы, плагины, API и внешние инструменты, выбираемые динамически во время выполнения
- Что делают агенты: автономное выполнение команд, скриптов и инфраструктурных операций
- Что генерируют агенты: код и зависимости, создаваемые на машинной скорости без стабильного человеческого ревью
Слабое место — тайминг. Пост-коммит сканирование приходит слишком поздно. Код уже может быть в репозитории или использован другими агентами. Эффективный контроль должен работать во время генерации и исполнения, а не после интеграции.
Definition capsule:
AI agent security — контроль прав, входов, выходов и поведения автономных или полуавтономных систем, которые выполняют действия в программных средах.
Защита продакшн-агентов в живых системах#
Продакшн-агенты работают внутри приложений с реальными пользователями и данными. Это системы поддержки, оркестрации процессов и AI-native сервисы, которые могут обращаться к системам и инициировать действия.
После деплоя управление фрагментируется на три зоны: обнаружение, оценка рисков и контроль соответствия. Организации часто теряют непрерывную видимость того, что делают агенты и соответствует ли поведение политике.
Критический сценарий отказа — не одиночные нарушения. Это многошаговые цепочки, где отдельно разрешённые действия приводят к небезопасному результату.
Платформа против точечных решений#
| Подход | Сильная сторона | Ограничение |
|---|---|---|
| Точечные инструменты | Быстрое внедрение, узкая задача | Фрагментация, отсутствие контроля жизненного цикла |
| Платформенный подход | Единое enforcement-управление на всех этапах | Более сложная интеграция |
Точечные инструменты оптимизируются под детекцию. Платформы — под управление поведением агентов на всём жизненном цикле, от генерации кода до runtime.
Что проверить перед перераспределением бюджета#
Команды безопасности при пересмотре бюджета должны проверять, соответствует ли расход enforcement-модели, а не только наблюдению. Ключевые проверки: есть ли контроль на этапе генерации кода, управляются ли runtime-действия агентов, можно ли аудитить политику во всех средах.
Без этого инвестиции уходят в слой видимости, который не меняет поведение системы.
Связанные материалы:
- https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational
- https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan
- https://gigatap.top/en/articles/open-source-security-needs-more-than-code
FAQ#
В чём главный сдвиг бюджетов ИБ для ИИ?
От разрозненных инструментов к управлению жизненным циклом ИИ-агентов в разработке и продакшене.
Почему одной видимости недостаточно?
Она фиксирует состояние, но не поведение и не многошаговые цепочки риска.
Где концентрируется риск?
В выборе инструментов, автономном исполнении и внедрении сгенерированного кода в цепочку поставки ПО.