В компании Ox Security придерживаются мнения, что безопасность должна быть интегрирована непосредственно в инструменты ИИ для снижения рисков, связанных с разработкой и использованием агентов. Её технический директор Боаз Барзель видит слабое место традиционной безопасности в том, что та предусматривала темп, заданный человеком.
Например, тестирование на проникновение проводилось в конце ежемесячного цикла разработки, однако, по словам Барзеля, ИИ-агенты теперь позволяют вносить сотни изменений в код ежедневно в непрерывном цикле, и защита больше не может быть просто дополнительным элементом.
«Идея заключается в том, что безопасность — это не этап в конвейере; это свойство самого акта создания, — пояснил эксперт. — Мы пытаемся сдвинуться влево, но левее идти некуда. Мы должны сдвинуться в сторону агента».
Традиционные инструменты не справляются в связи с различными инструкциями, поступающими к боту, использованием серверов MCP, моделей, навыков и внешних подключений SaaS, «невидимыми» агентами, уязвимым или деструктивным кодом и так далее. Эти проблемы усугубляются сужением окна эксплуатации благодаря мощным моделям, таким как Mythos, а также огромным объёмом кода, который могут генерировать нейросети.
В эру агентного ИИ защита должна быть интегрирована в цикл разработки, контекстно-зависима и работать непрерывно, считает Боаз Барзель: «Агенты безопасности действуют бок о бок с агентами-программистами, при этом каждый коммит тестируется на проникновение, а каждое исправление проверяется и подтверждается автономно. Система анализирует, что изменилось, что стало уязвимым и какой риск это внесло, поэтому она действует прогнозно, а не реактивно».
Цель, к которой стремится Ox Security, в том, чтобы сократить с недель до часов среднее время устранения уязвимостей (MTTR), добиться 100%-го охвата автономных проверок безопасности для комплексных изменений, чтобы большинство проблем устранялось и подтверждалось автономно, а люди занимались только оценкой более сложных или новых проблем.
Усам Оздемиров
.jpg)
.jpg)
.png)