Переход от примитивных чат-ботов к автономным агентам — это не просто технологический рывок, а добровольное расширение поверхности атаки до масштабов стадиона. Исследователи из Имперского колледжа Лондона (Джавад Фороуг, Мариос Когиас и Хамед Хаддади) подтверждают: традиционные программные методы защиты оказываются бесполезными, когда агент получает доступ к долгосрочной памяти и учетным данным пользователя. Сегодня агенты на базе больших языковых моделей не просто выдают галлюцинации в изоляции — они планируют операции и оперируют конфиденциальным контекстом в распределенных цепочках, которые невозможно полностью контролировать.
Внедрение протоколов Model Context Protocol (MCP) и Agent-to-Agent (A2A) без надежной аппаратной изоляции превращает корпоративную систему в решето. «Отравление» контекста и инъекции промптов позволяют злоумышленникам незаметно красть логины и пароли прямо на уровне инфраструктуры. Ирония ситуации в том, что стандартные барьеры, такие как программные «песочницы» или классификаторы вывода, бессильны, если скомпрометирован облачный оператор или гипервизор. Взломщик с системными привилегиями может видеть веса моделей и историю переписки в открытом виде еще до того, как приложение успеет применить шифрование.
Единственным легальным способом допустить агентов в корпоративный сегмент остаются конфиденциальные вычисления (Confidential Computing). Эксперты настаивают на использовании доверенных сред исполнения (TEE), таких как Intel SGX, TDX или NVIDIA H100 CC. Эти аппаратные решения изолируют код от системного ПО, обеспечивая верификацию через удаленную аттестацию. Пока математическая магия гомоморфного шифрования остается слишком дорогой и медленной, именно TEE выглядят как единственный реалистичный барьер против промышленного шпионажа.
Главная проблема заключается в отсутствии готовых сквозных фреймворков для интеграции «железного доверия» в сложные агентские сети. Бизнесу предстоит сложный выбор: либо мириться с потерей производительности GPU при масштабировании моделей с поддержкой TEE, либо признать, что их автономные рабочие процессы — это открытая дверь для конкурентов. Без немедленного пересмотра архитектуры в пользу аппаратной изоляции любые обещания безопасности в мире ИИ-агентов остаются лишь маркетинговым шумом.