Дослідники закликають ставитися до AI-агентів як до ненадійних систем для безпеки криптовалют

Ваш улюблений AI-асистент може бути розумним, але дослідники зараз стверджують, що його слід сприймати з тією ж підозрою, з якою ваш комп’ютер сприймає випадкову завантажену програму. Стаття від травня 2026 року, опублікована на arXiv, аргументує, що AI-агенти, особливо ті, що обробляють фінансові транзакції, повинні бути спроектовані як фундаментально недовірчі компоненти в більших системах.

Стаття під назвою «Безпека агентів — це проблема систем» (arXiv:2605.18991) з’являється в момент, коли криптоіндустрія робить величезні ставки на автономні AI-агенти для управління всею сферою — від торгівлі DeFi до операцій з гаманцями. Генеральний директор Circle Джеремі Аллєр спрогнозував, що мільярди AI-агентів самостійно здійснюватимуть економічну діяльність за допомогою стейблкоїнів протягом наступних трьох-п’яти років.

Сучасні операційні системи не довіряють окремим процесам. Кожна програма працює в пісочниці з обмеженими дозволами, може отримувати доступ лише до файлів, до яких їй було явно надано доступ, і зупиняється, якщо намагається вийти за межі своєї області. Дослідники хочуть застосувати ту саму філософію до агентів ШІ.

Стаття закликає до трьох конкретних заходів. По-перше, забезпечення безпеки інваріантів на системному рівні, тобто жорстких правил, які не можуть бути змінені самою ШІ. По-друге, впровадження сендбоксінгу з мінімальними привілеями, коли агенти отримують доступ лише до мінімально необхідних ресурсів для виконання своєї конкретної задачі. По-третє, забезпечення ефективного розділення інструкцій від даних, що вирішує одну з найбільш небезпечних векторів атак у сучасних ШІ-системах.

Цей останній пункт має більше значення, ніж може здатися. Атаки через введення запитів працюють саме тому, що агенти ШІ часто не можуть розрізняти легітимні інструкції та шкідливі дані, що містять приховані команди. Коли агент обробляє мемо транзакції, яке таємно містить інструкції щодо перенаправлення коштів, відсутність розділення стає проблемою на $500 000.

Це число не є гіпотетичним. У події в квітні 2026 року саме така сума була виведена з крипто-гаманця через недоліки в інфраструктурі ШІ та зловживання зловмисними викликами інструментів. Атака використала вразливість, про яку попереджають дослідники: агент ШІ з надмірним доступом, недостатньою перевіркою інструментів, які він викликав, та відсутністю системних захисних механізмів, які могли б виявити аномалію до виведення коштів з гаманця.

Автономна природа цих агентів посилює ризик. Людина-трейдер, яка отримує фішингове листа, може зупинитися і подумати. Штучний інтелект, який отримує добре сплановану ін’єкцію запиту, виконує її зі швидкістю машини, що може призвести до виведення активів до того, як будь-яка система моніторингу зможе відреагувати.

Деякі компанії вже рухаються в напрямку, рекомендованому у цьому документі. Ledger розробив дорожню карту безпеки на 2026 рік, яка включає ініціативи з апаратної безпеки, спеціально розроблені для середовищ агентів ШІ. Логіка проста: якщо ви не можете повністю довіряти програмному шару, прив’яжіть критичні операції до апаратного забезпечення, яке надає криптографічні гарантії, незалежні від поведінки ШІ.

Рекомендація статті розглядати це як «проблему системи», а не як «проблему моделі», є значущим розрізненням. Вона зміщує відповідальність не лише з розробників ШІ на ширшу екосистему постачальників інфраструктури, розробників протоколів та операторів платформ.

Слідкуйте за протоколами, які реалізують перевіряємі обчислення для дій AI-агентів, on-chain атестацію поведінки агентів та обов’язкові контролі доступу з мінімальними привілеями. Ці функції, ймовірно, стануть обов’язковими для платформ AI-агентів інституційного рівня протягом наступних 12–18 місяців.