Индустрия безопасности до сих пор сосредоточена на промпт-инъекциях, пока на горизонте маячит куда более фундаментальная угроза — архитектурный хаос в авторизации. Как отмечает Крти Таллам из Kamiwaza AI, переход от простых запросов к мультиагентным оркестрациям обнажает полную беспомощность классических моделей вроде RBAC (управление доступом на основе ролей) или ABAC (на основе атрибутов). Когда агенты начинают делегировать задачи друг другу, они создают цепочки нечеловеческих субъектов, в которых контроль прав доступа превращается в фикцию. Даже если вы построите идеальный фильтр контента, это не решит проблему «транзитивного доступа»: имеет ли право агент видеть синтезированный результат из трех баз данных, к каждой из которых у него вроде бы есть доступ по отдельности?
В анализе Таллама выделены три фатальные уязвимости мультиагентных систем. Первая — транзитивное делегирование: оркестратор передает задачу узкопрофильному агенту, теряя по дороге ограничения прав. Вторая — агрегационный вывод: на стыке данных из разных источников агент может выдать информацию, которая должна быть скрыта, даже если исходные сеты легитимны. Третья — риск временной валидности: права выдаются «существу», которое не уходит в отпуск и не имеет графика работы, что делает любую утечку вечной. По сути, мы имеем дело не с лингвистической проблемой «плохих слов», а со структурным отказом, где штатная работа системы ведет к компрометации данных.
Решение проблемы перемещается из области филологии в плоскость жесткой системной архитектуры. Исследователи, включая Пракаша и Шарму, настаивают на внедрении токенов возможностей с привязкой к вызову (invocation-bound tokens). В отличие от обычного удостоверения личности, такой токен жестко ограничен конкретной задачей и коротким жизненным циклом. Это единственный способ избежать «раздувания привилегий», когда автономный агент внезапно обнаруживает у себя ключи от всех дверей компании просто потому, что он «помогает» пользователю.
Безопасность ИИ окончательно становится частью инфраструктуры идентификации. Нельзя ждать, пока логика оркестрации масштабируется сама собой — отчеты с действующих корпоративных платформ показывают, что сбои происходят прямо сейчас, в ходе рутинных операций. Будущее за отзывом прав по количеству выполнений и политиками на основе графов зависимостей. Для CTO это означает смену парадигмы: надежность нейросети теперь определяется не качеством контент-фильтров, а строгостью архитектуры идентификации. Эпоха, когда агента считали простым «цифровым аватаром» пользователя, закончилась. Относитесь к идентификации как к фундаменту, иначе ваши данные станут кормом для тех самых рабочих процессов, которые должны были их оптимизировать.