Делегируй это хакеру. Популярные системы управления ИИ оказались абсолютно беззащитными
NewsMakerЖажда прогресса снова победила здравый смысл и логику.
Проверка популярных фреймворков для ИИ-агентов показала системные проблемы с безопасностью доступа. Команда Grantex Research изучила 30 открытых проектов с совокупной популярностью более 500 тысяч звёзд на GitHub и пришла к выводу, что почти все решения используют примитивные схемы авторизации, которые не позволяют контролировать действия агентов и отслеживать их поведение.
Анализ затронул такие параметры, как разграничение прав, наличие уникальной идентичности агента, согласие пользователя, отзыв доступа, аудит действий и контроль делегирования. Результаты оказались тревожными. В 93% случаев разработчики ограничиваются API-ключами без ограничений по правам. Такие ключи хранятся в переменных окружения и дают агенту полный доступ ко всем операциям от имени владельца. Ограничить действия агента, задать срок действия доступа или указать конкретный контекст невозможно.
Ни один из изученных проектов не внедрил уникальную идентичность для каждого агента. При использовании одного ключа несколькими агентами определить, кто выполнил конкретное действие, невозможно. Отсутствие такой привязки лишает системы прозрачности и усложняет расследование инцидентов.
Почти во всех проектах отсутствует механизм согласия пользователя . В 97% случаев доступы задаются разработчиком заранее, без участия конечного пользователя. Даже в тех решениях, где предусмотрено ручное подтверждение действий, речь идёт лишь о паузе в выполнении, а не о полноценной выдаче ограниченных прав.
Проверка популярных фреймворков для ИИ-агентов показала системные проблемы с безопасностью доступа. Команда Grantex Research изучила 30 открытых проектов с совокупной популярностью более 500 тысяч звёзд на GitHub и пришла к выводу, что почти все решения используют примитивные схемы авторизации, которые не позволяют контролировать действия агентов и отслеживать их поведение.
Анализ затронул такие параметры, как разграничение прав, наличие уникальной идентичности агента, согласие пользователя, отзыв доступа, аудит действий и контроль делегирования. Результаты оказались тревожными. В 93% случаев разработчики ограничиваются API-ключами без ограничений по правам. Такие ключи хранятся в переменных окружения и дают агенту полный доступ ко всем операциям от имени владельца. Ограничить действия агента, задать срок действия доступа или указать конкретный контекст невозможно.
Ни один из изученных проектов не внедрил уникальную идентичность для каждого агента. При использовании одного ключа несколькими агентами определить, кто выполнил конкретное действие, невозможно. Отсутствие такой привязки лишает системы прозрачности и усложняет расследование инцидентов.
Почти во всех проектах отсутствует механизм согласия пользователя . В 97% случаев доступы задаются разработчиком заранее, без участия конечного пользователя. Даже в тех решениях, где предусмотрено ручное подтверждение действий, речь идёт лишь о паузе в выполнении, а не о полноценной выдаче ограниченных прав.