Исследователи призывают рассматривать ИИ-агенты как ненадежные системы для обеспечения безопасности криптовалют

Ваш любимый ИИ-ассистент может быть умным, но исследователи теперь утверждают, что его следует воспринимать с тем же подозрением, с каким компьютер относится к случайной загруженной программе. Статья от мая 2026 года, опубликованная на arXiv, утверждает, что ИИ-агенты, особенно те, которые обрабатывают финансовые транзакции, должны быть спроектированы как фундаментально недоверенные компоненты в рамках более крупных систем.

Статья под названием «Безопасность агентов — это системная проблема» (arXiv:2605.18991) появляется в момент, когда криптоиндустрия делает крупные ставки на автономные ИИ-агенты для управления всем, начиная от сделок в DeFi и заканчивая операциями с кошельками. Генеральный директор Circle Джереми Эллайр спрогнозировал, что миллиарды ИИ-агентов будут независимо осуществлять экономические операции с использованием стейблкоинов в течение ближайших трех-пяти лет.

Современные операционные системы не доверяют отдельным процессам. Каждое приложение работает в песочнице с ограниченными разрешениями, может получать доступ только к файлам, которым явно предоставлен доступ, и завершается, если пытается выйти за пределы своей области. Исследователи хотят, чтобы та же философия применялась к ИИ-агентам.

Бумага предлагает три конкретные меры. Во-первых, обеспечение безопасности инвариантов на системном уровне, то есть жестких правил, которые не могут быть отменены самой ИИ-системой. Во-вторых, внедрение песочниц с минимальными привилегиями, при которых агенты получают доступ только к минимально необходимым ресурсам для выполнения своей конкретной задачи. В-третьих, обеспечение эффективного разделения инструкций и данных, что устраняет один из самых опасных векторов атак в современных ИИ-системах.

Последний пункт важнее, чем может показаться. Атаки с внедрением запросов работают именно потому, что ИИ-агенты часто не могут отличить легитимные инструкции от вредоносных данных, содержащих скрытые команды. Когда агент обрабатывает мемо транзакции, в котором секретно содержатся инструкции по перенаправлению средств, отсутствие разделения превращается в проблему на $500 000.

Это число не гипотетично. Инцидент в апреле 2026 года привел к точному списанию именно этой суммы с крипто-кошелька из-за недостатков в инфраструктуре ИИ и злонамеренных вызовов инструментов. Атака эксплуатировала уязвимость, о которой предупреждают исследователи: агент ИИ с чрезмерным доступом, недостаточной проверкой вызываемых им инструментов и отсутствием системных защитных механизмов, способных зафиксировать аномалию до вывода средств из кошелька.

Автономная природа этих агентов усиливает риск. Человек-трейдер, получивший фишинговое письмо, может остановиться и подумать. ИИ-агент, получивший тщательно подготовленную инъекцию запроса, выполнит её с машинной скоростью, потенциально опустошив активы до того, как любая система мониторинга сможет среагировать.

Некоторые компании уже движутся в направлении, рекомендованном в документе. Ledger опубликовал дорожную карту безопасности на 2026 год, включающую инициативы по аппаратной безопасности, специально разработанные для сред AI-агентов. Логика проста: если вы не можете полностью доверять программному слою, закрепите критически важные операции на аппаратном уровне, обеспечивающем криптографические гарантии, независимые от поведения ИИ.

Рекомендация в статье рассматривать это как «проблему системы», а не как «проблему модели», является значимым различием. Она переносит ответственность с одних только разработчиков ИИ на более широкую экосистему провайдеров инфраструктуры, проектировщиков протоколов и операторов платформ.

Обращайте внимание на протоколы, реализующие проверяемые вычисления для действий ИИ-агентов, ончейн-аттестацию поведения агентов и обязательные контрольные механизмы с минимальными привилегиями. Эти функции, вероятно, станут обязательными требованиями для платформ ИИ-агентов корпоративного уровня в течение следующих 12–18 месяцев.