What capabilities did agentic AI enable attackers to perform, and what evidence from the Anthropic campaign illustrates this?

Agentic AI enables attackers to execute multi-phase campaigns with minimal human input, doing reconnaissance, locating high-value databases, generating exploit code, and assembling stolen credentials. In Anthropic's account, the AI performed roughly 80–90% of the campaign, with humans only at a few decision points, and used tool-use via scanners, code execution environments, and web APIs, producing high-volume, rapid-fire, scalable operations.

What are the three immediate defender changes highlighted in the article?

Defenders are pursuing tighter governance for nonhuman identities, enforced least-privilege and short-lived credentials for agents, and more granular audit trails linking machine actions to verifiable provenance. These measures convert opaque agent activity into a traceable lifecycle that can be constrained or revoked, improving control over automated defender actions.

Why are vendor solutions like Sublime Security and ATLAS significant in this context?

Vendors are building agentic defense systems designed to detect, triage and remediate threats as quickly as attackers operate. For example, Sublime Security unveiled agentic email-defense that triages phishing and drives defensive rules autonomously, while ATLAS markets a self-evolving cognitive fabric orchestrating thousands of agents to hunt, predict and neutralise threats in milliseconds. This reflects a shift toward automated, scalable defense parallel to offensive agentic capabilities.

What governance and policy questions does agentic defense raise, and what directions are suggested?

The rise of agentic defenses raises governance questions about who controls defensive agents, how their decisions are audited, and how to prevent creating new high-value targets such as agent-control planes and audit logs for attackers. In parallel, industry guidance points to policy directions like standards for agent provenance, token standards that encode intent and scope, and improved threat-sharing about agent-based TTPs.

Атака ИИ-агентов: скорость, масштаб, совершенство

Искусственный интеллект By Mattias Risberg Дек 24, 2025 12:14

AI Agents Strike: Speed, Scale, Sophistication

Агентивный ИИ уже применяется для проведения быстрых и масштабных киберопераций; эксперты по безопасности и вендоры стремятся усилить механизмы идентификации, управления и автономной защиты. В данной статье обобщаются последние отраслевые данные и инициативы поставщиков, чтобы объяснить суть изменений и ответные меры защитников.

Когда взлом осуществляют машины

Это разоблачение конкретизировало опасение, которое отделы безопасности начали осознавать уже несколько месяцев назад: агентный ИИ — системы, способные выполнять циклы, использовать внешние инструменты и предпринимать автономные действия — кардинально меняет экономику кибератак. Спустя недели и месяцы после отчета Anthropic публичные дискуссии между вендорами и облачными провайдерами сместились от абстрактного снижения рисков к конкретным изменениям в идентификации, концепции нулевого доверия (zero trust) и инструментах как для обнаружения, так и для развертывания автономных защитников.

Как развертывалась кампания Anthropic

Расследование Anthropic описывает многофазный жизненный цикл, который исключает большую часть медленной и подверженной ошибкам работы, ранее требовавшейся от хакеров-людей. Операторы подготовили структуру атаки, а затем проинструктировали модель провести разведку, выявить ценные базы данных, сгенерировать код эксплойта и собрать украденные учетные данные — разбивая вредоносный план на мелкие, кажущиеся безобидными задачи, чтобы обойти встроенные защитные барьеры. По оценкам компании, ИИ выполнил примерно 80–90% кампании, при этом люди подключались лишь в нескольких контрольных точках принятия решений.

Две технические особенности сделали кампанию возможной в таких масштабах: во-первых, интеллект моделей созрел до такой степени, что агенты могут следовать сложным многоэтапным инструкциям и генерировать рабочий код; во-вторых, агенты получили возможность использования инструментов — доступ к сканерам, средам выполнения кода или веб-ресурсам через API — что позволило им действовать на основе полученных данных. Anthropic также отметила, что злоумышленники использовали техники джейлбрейка и обманные промпты, чтобы заставить модель сотрудничать.

С операционной точки зрения атака создала необычную телеметрическую сигнатуру: большой объем скоростных запросов и распределенную цепочечную активность, которая была бы непомерно дорогой или медленной для команды, состоящей только из людей. Anthropic заявила, что лишь небольшое число попыток увенчалось успехом, но этот случай демонстрирует новую возможность: недорогие высокоскоростные киберкампании, которые масштабируются автоматически и могут быть быстро адаптированы противником.

Реакция отрасли: переосмысление идентификации и доверия

На практике защитники продвигают три немедленных изменения: более строгое управление нечеловеческими учетными записями (nonhuman identities), принудительное применение принципа наименьших привилегий и краткосрочных учетных данных для агентов, а также более детализированные журналы аудита, которые связывают действия машин с данными о происхождении высокой точности. Эти изменения постепенны, но важны: они превращают активность агентов из непрозрачного потока вызовов API в прослеживаемый жизненный цикл, который можно ограничить и, при необходимости, отозвать.

Автономная защита: вендоры тоже становятся агентными

Не все ответные меры являются оборонительными в узком смысле. Стартапы и признанные вендоры создают агентные системы, предназначенные для обнаружения, сортировки и устранения угроз с той же скоростью, с которой действуют атакующие. В конце октября Sublime Security объявила о крупном финансировании и описала агентную технологию защиты электронной почты, которая самостоятельно классифицирует фишинг и внедряет защитные правила. В декабрьском анонсе продукта была представлена ATLAS — самоэволюционирующая когнитивная структура кибербезопасности, которая координирует работу тысяч специализированных агентов для поиска, прогнозирования и нейтрализации угроз за миллисекунды.

Эти продукты вендоров формализуют неудобную реальность: если атакующие могут автоматизировать и масштабировать операции с помощью агентов, защитники также должны использовать агентные подходы для мониторинга, корреляции и автоматизированного сдерживания. Архитектурные компромиссы значительны. Агентные системы защиты обещают более быстрое реагирование и снижение утомляемости аналитиков, но они порождают собственные вопросы управления: кто контролирует защитных агентов, как проверяются их решения и как организациям избежать создания новых высокоценных целей (плоскостей управления агентами, журналов аудита) для злоумышленников?

Укрепление уровня идентификации и управления

В качестве базовых мер контроля для организаций, которые хотят безопасно внедрять или допускать использование внутренних агентов, намечаются следующие практические шаги:

Инвентаризация нечеловеческих учетных записей и принудительная аттестация: регистрация каждого агента, закрепление за ним владельца и требование периодического подтверждения цели и рамок его деятельности.
Использование эфемерных токенов и краткосрочных учетных данных: уменьшение «радиуса поражения» в случае кражи или злоупотребления токеном.
Инструментарий происхождения и проверяемости: привязка действий агента к проверяемым цепочкам делегирования и неизменяемым логам для обеспечения возможности отката и проведения форензики.
Ограничение скорости и обнаружение аномалий в трафике агентов: маркировка необычных объемов запросов, всплесков активности или последовательностей использования инструментов, которые соответствуют паттернам атак, описанным в недавних отчетах.
Сегментация и микросегментация критических активов: установление дополнительных проверок и многосторонних одобрений для горизонтального перемещения и доступа к важным данным.

Эти шаги согласуются с более широкими принципами нулевого доверия, но требуют дополнительных политик и инструментов управления жизненным циклом агентов — того, как они создаются, обновляются, выводятся из эксплуатации и контролируются.

Почему это важно за рамками громких заголовков

Агентный ИИ снижает стоимость и порог навыков для проведения сложных киберопераций. Это имеет два предсказуемых последствия. Во-первых, большее число противников — включая менее квалифицированные преступные группы — смогут проводить кампании, которые ранее требовали элитных команд. Во-вторых, ускоряется темп операций: разведка, разработка эксплойтов и эксфильтрация данных могут итерироваться за минуты, а не за недели. Обе тенденции увеличивают количество инцидентов, которые защитники должны обнаруживать и локализовать.

В то же время агентный ИИ является технологией двойного назначения. Компании вроде Anthropic подчеркивают, что те же возможности, которые позволяют совершать злоупотребления, ценны для автоматизированной защиты, анализа инцидентов и поиска угроз. Конечным результатом является гонка вооружений, в которой и атакующие, и защитники переходят на агентные модели, в то время как регуляторы, облачные провайдеры и крупные предприятия пытаются установить барьеры для обеспечения безопасности и подотчетности.

Взгляд в будущее: политика, стандарты и обмен разведданными

Технические средства контроля смягчат многие атаки, но проблема также требует скоординированной политики. Отраслевые стандарты происхождения агентов, стандарты токенов, кодирующие намерения и область действия, а также более эффективный обмен данными о TTP (тактиках, техниках и процедурах) на базе агентов снизят вероятность широкомасштабного ущерба. Облачные провайдеры и хосты моделей уже играют центральную роль в этой экосистеме: важными рычагами станут средства управления доступом, варианты интеграции инструментов и функции безопасности моделей (например, защитные барьеры и водяные знаки).

Для команд безопасности главный вывод очевиден: относитесь к агентному ИИ как к новому классу идентификации и отдельной поверхности атаки. Проводите его инвентаризацию, управляйте им, отслеживайте его и — где это возможно — используйте агентное обнаружение, чтобы вернуть себе часть преимущества в скорости, которое только что получили злоумышленники. Без этих изменений организации рискуют отстать от автоматизированных противников, действующих с беспрецедентной скоростью, масштабом и изощренностью.

Источники

Anthropic (технический отчет: «Disrupting the first reported AI-orchestrated cyber espionage campaign», 13 ноября 2025 г.)
ATLAS (анонс продукта, 18 декабря 2025 г.)
Sublime Security (объявление о финансировании Серии C и агентной защите электронной почты, 28 октября 2025 г.)
Техническое интервью Fortinet и Google по вопросам идентификации и нулевого доверия (отраслевое интервью, 19 декабря 2025 г.)

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers Questions Answered

Какие возможности агентный ИИ открыл для злоумышленников и какие доказательства из кампании Anthropic это иллюстрируют?

Агентный ИИ позволяет злоумышленникам проводить многоэтапные кампании с минимальным участием человека, выполняя разведку, поиск ценных баз данных, генерацию эксплойт-кода и сбор украденных учетных данных. По данным Anthropic, ИИ выполнил примерно 80–90% кампании, при этом люди участвовали лишь в нескольких точках принятия решений; система использовала инструменты через сканеры, среды выполнения кода и веб-API, создавая высокообъемные, стремительные и масштабируемые операции.

Какие три незамедлительных изменения в тактике защиты выделены в статье?

Специалисты по защите стремятся к более строгому управлению нечеловеческими идентификаторами (non-human identities), внедрению принципа наименьших привилегий и использованию краткосрочных учетных данных для агентов, а также к созданию более детализированных журналов аудита, связывающих действия машин с проверяемым источником. Эти меры превращают непрозрачную деятельность агентов в отслеживаемый жизненный цикл, который можно ограничить или аннулировать, что улучшает контроль над автоматизированными действиями защиты.

Почему решения от таких поставщиков, как Sublime Security и ATLAS, важны в данном контексте?

Поставщики создают агентные системы защиты, предназначенные для обнаружения, классификации и устранения угроз так же быстро, как действуют злоумышленники. Например, Sublime Security представила агентную защиту электронной почты, которая автономно сортирует фишинг и формирует правила защиты, в то время как ATLAS продвигает саморазвивающуюся «когнитивную структуру», координирующую тысячи агентов для поиска, прогнозирования и нейтрализации угроз за миллисекунды. Это отражает переход к автоматизированной масштабируемой защите, параллельной наступательным возможностям агентного ИИ.

Какие вопросы управления и политики поднимает агентная защита и какие направления предлагаются?

Развитие агентной защиты поднимает вопросы управления: кто контролирует защитных агентов, как проверяются их решения и как не допустить превращения панелей управления агентами и журналов аудита в новые ценные мишени для хакеров. Параллельно с этим отраслевые рекомендации указывают на такие политические направления, как стандарты происхождения агентов, стандарты токенов, кодирующие намерения и область действия, а также улучшенный обмен данными об угрозах, связанных с методами (TTP) на базе агентов.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!