Пока бизнес-сообщество увлеченно инвестирует в автономных агентов, исследователи столкнулись с серьезной структурной проблемой. Согласно препринту Янниса Бельхитера и его команды, опубликованному на arXiv, индустрия совершает классическую ошибку, фокусируясь на защите от джейлбрейков и промпт-инъекций. В эпоху агентов реальная угроза исходит от атаки типа Function Hijacking (FHA — перехват функций), которая позволяет захватить управление процессом выбора инструментов через протокол Model Context Protocol (MCP).
Механика атаки изящна в своей деструктивности: злоумышленник заставляет агента вызывать специфическую вредоносную функцию, игнорируя семантический контекст и любые фильтры промптов. Это не теоретическая гипотеза — в ходе экспериментов Бельхитера на пяти различных моделях (включая специализированные reasoning-варианты) частота успешных атак (ASR) на наборе данных BFCL составила от 70% до 100%. По сути, если ваш архитектор ИИ полагает, что модель всегда «выберет» правильный инструмент, исходя из намерений пользователя, — у нас для вас плохие новости.
Уязвимость MCP открывает прямой путь к саботажу данных, краже корпоративных активов и созданию бесконечных циклов исполнения программ. Исследование доказывает, что такие атаки универсальны: они не зависят от специфики предметной области и не требуют тонкой настройки под конкретный бизнес-процесс. Хуже того, Бельхитер обнаружил, что можно обучить адверсариальные функции, которые будут перехватывать выбор инструментов одновременно для множества различных запросов и конфигураций.
На наш взгляд, внедрение MCP в его текущем виде без жесткой изоляции сред исполнения — это неоправданный операционный риск. Ажиотаж вокруг «автономности» ослепил топ-менеджмент: расширение прав агентов через MCP создает векторы атак, к которым традиционная кибербезопасность просто не готова. Надежность агентских систем теперь зависит не от внутреннего «интеллекта» LLM, а от внешних защитных барьеров. Интегрируя таких агентов в критическую бизнес-логику сегодня, вы фактически вручаете ключи от инфраструктуры системе, которую стресс-тесты взламывают в 100% случаев. До обеспечения полной изоляции сред исполнения доверять ИИ-агентам роль внутренних акторов — это непозволительная роскошь.