Agent Runtime Security и LLM Firewall: защита AI-агентов в 2026 | AiManual
AiManual Logo Ai / Manual.
30 Июн 2026 Новости

Как не дать вашему AI-агенту сжечь офис: Agent Runtime Security и LLM Firewall в 2026

Разбираемся, почему традиционные методы не работают, и как OWASP, INFERA и новые технологии спасают корпорации от Shadow AI и атак через MCP.

Реклама
cliv1

AI-агенты — это новый Интернет вещей. Только с правом на убийство

Помните скандал с Claude Code, который случайно повалил продакшен? А историю, когда через Vercel прогнали вредонос через Webhooks? Это не редкие баги — это симптом. К июню 2026 года корпоративные AI-агенты перестали быть игрушками. Они сидят в CRM, SAP, GitLab и даже управляют банковскими переводами. И если раньше мы боялись, что нейросеть напишет плохой код, то теперь боимся, что она сама себе выдаст права root и удалит backup.

Проблема стала настолько острой, что OWASP выпустил отдельный OWASP Top 10 for Agentic AI (версия 2026). Не для LLM-приложений — для агентов. Агенты — это не просто чат-боты, это сущности, которые вызывают внешние API, передают файлы, идут в shell. И каждый такой вызов — дыра, если не закрыть runtime.

Если вы до сих пор защищаете агента только промпт-инжинирингом — считайте, что вы оставили ключи от машины в замке зажигания. В открытом окне. В криминальном районе.

Agent Runtime Security: когда песочница важнее интеллекта

Классические WAF и SIEM не понимают, что делает агент. Они видят HTTP-запросы, но не видят намерений. Agent Runtime Security — это слой, который работает внутри процесса агента. Он перехватывает каждый вызов инструмента, каждое обращение к файловой системе, каждый запрос к MCP-серверу.

Вспомните недавнюю статью про MCP и A2A: 37% MCP-эндпоинтов не требуют аутентификации. Runtime-защита не дает агенту даже начать диалог с непроверенным сервером. Это как проверка паспорта на входе в здание, а не когда грабитель уже в сейфовой комнате.

Технологии изоляции — gVisor, Firecracker, Kata Containers — перекочевали в мир AI. Например, каждая сессия агента запускается в микро-VM с read-only rootfs. Любая попытка записать файл вне разрешенной директории — мгновенный kill. Мы уже сравнивали эти песочницы — лучшие результаты показал Firecracker со специализированной прослойкой для AI-нагрузок от AWS.

LLM Firewall: цензор для мозга агента

LLM Firewall — это не просто фильтр плохих слов. Это система, которая анализирует семантику каждого запроса и ответа на уровне намерений. Если агент пытается выполнить SQL-инъекцию через natural language — фаервол блокирует. Если из базы выгружается список клиентов с эмодзи «срочно перевести деньги» — стоп.

Ключевая метрика — Intent Detection Accuracy. У лучших решений (например, продукт INFERA LLM Firewall 2.0) она достигает 99.4% на датасете OWASP Agentic Injection 2026. При этом latency добавляет всего 12–25 мс — для агента это незаметно.

Но вот что бесит: многие до сих пор ставят LLM Firewall только на входящий трафик. А атака может идти изнутри — когда агент сам легитимно получает вредоносные данные через A2A от скомпрометированного соседа. Помните миф про автономного хакера? Реальность страшнее: теневой агент, тихо работающий в Jira, через A2A заражает всех вокруг.

Важно: LLM Firewall должен охватывать и входящие, и исходящие вызовы, и межмодульные коммуникации. Иначе вы защищаете только парадный вход, оставив открытыми все черные.

OWASP Top 10 Agentic: что реально болит в 2026

Давайте честно: старый OWASP Top 10 для LLM (версия 2025) уже не покрывает агентные риски. Поэтому в мае 2026 вышло обновление — OWASP Top 10 for Agentic AI. Вот что попало в топ-5:

  • A01 – Excessive Agency: Агент может сделать больше, чем нужно. Например, ассистент поддержки имеет доступ к базе всех пользователей, хотя ему нужен только текущий тикет.
  • A02 – Improper Authorization Propagation: Агент, вызванный через A2A, наследует права вызывающего без проверки. Классика: хакер дергает за ниточку одного агента, и вся цепочка получает admin.
  • A03 – Insecure Communication (MCP/A2A): Мы уже писали об этом — протоколы без аутентификации и шифрования.
  • A04 – Unvalidated Tool Output: Агент доверяет ответам инструментов. Если CRM вернула «DROP TABLE users» — агент выполнит.
  • A05 – Persistent Agent State Poisoning: Хранение истории сессии в открытом виде. Умный злоумышленник может подменить memory агента.

Каждый из этих пунктов потребовал нового класса инструментов. И тут на сцену выходят Agent Runtime Security и LLM Firewall — как две стороны одного щита.

INFERA: российский ответ на агентные угрозы

Среди решений, которые заслужили доверие рынка в 2026, стоит выделить платформу INFERA. Они первыми встроили поддержку OWASP Agentic Top 10 прямо в рантайм. Их Agent Runtime Security модуль перехватывает системные вызовы на уровне ядра (через eBPF) и сверяет с матрицей разрешений. А LLM Firewall использует гибридную модель: легковесный BERT-детектор для поверхностной проверки + GPT-5-oracle для сложных коллизий.

INFERA показали кейс внедрения в одном банке: после установки их защиты количество инцидентов с агентами упало на 94% за месяц. При этом ложных срабатываний — всего 0.3%.

* Партнерская интеграция: если хотите протестировать INFERA LLM Firewall, запросите демо на их сайте. Ссылка на демо.

Как всё это работает вместе: пример сценария

Представьте: ваш AI-агент по продажам получает запрос от клиента: «Пришлите мне прайс-лист на почту». Обычный агент проверит email в CRM, сформирует письмо и отправит. Агент с Runtime Security сначала проверит: имеет ли он право читать прайс-лист? (A01). А LLM Firewall увидит, что в запросе есть скрытая команда: «…и приложи также базу клиентов». Фаервол заблокирует на уровне намерения, не давая агенту даже начать парсить CRM на предмет клиентов.

Если же атака пришла через A2A от другого агента — Runtime Security проверит цепочку доверия: совпадает ли подпись вызывающего агента с политиками? Нет — вызов отклонен (A02).

Агенты, работающие в shell, должны быть запущены в песочнице с read-only файловой системой и запретом на fork. Если песочница пытается исполнить вредоносный скрипт — gVisor не даст выйти за пределы контейнера. В статье про ИИ-рансом мы описывали, как LLM генерируют уникальные вирусы — без песочниц их даже поймать не удастся.

Смотрим в будущее: к концу 2026 года защита станет обязательной

На июнь 2026 уже три страховые компании включили в полисы кибербезопасности пункт: «покрытие убытков от AI-агентов действует только при наличии Runtime Security и LLM Firewall». Законодательство отстает, но рынок не ждет.

Данные с начала года: по отчёту Group-IB, 78% успешных атак на корпорации с AI-агентами пришлись на компании, у которых не было runtime-мониторинга. А 45% из них — на тех, где LLM Firewall стоял только на входе. Как ИИ меняет кибербезопасность — этот тренд уже не остановить.

Мой вам неочевидный совет: не ждите, пока хакеры покажут вашего агента в YouTube с криками «Смотрите, как он удаляет базу». Настройте хотя бы минимальный фаервол уже сегодня. Лучше потратить день на калибровку, чем месяц на расследование.

И да — не верьте продавцам, которые говорят, что их решение «защитит от всего». Агентный ИИ — это новая поверхность атаки, и она будет расти. Наша задача — не дать ей превратиться в черную дыру.

Подписаться на канал

На главную