OWASP выпустил второй отчёт по ИИ-агентам — теперь с реальными инцидентами, CVE и российскими спецами в команде
Корпоративные ИИ-агенты уже не ограничиваются ответами в чате. Агент получает цель, выбирает инструмент, обращается к API, читает данные, меняет записи и запускает цепочки операций. В новой версии State of Agentic AI Security and Governance OWASP описывает сдвиг, который службы безопасности больше не могут игнорировать: риски агентных систем перешли из прогнозов к инцидентам, предупреждениям поставщиков и CVE.
OWASP выпустила первую версию отчёта в июле 2025 года. Тогда авторы описывали агентные риски как набор вероятных угроз, разбирали молодой рынок и призывали компании заранее выстраивать управление. За год внедрение ускорилось. Появился отдельный OWASP Top 10 for Agentic Applications, а регуляторы в разных странах начали прописывать правила для вреда, который может возникнуть из-за действий автономных ИИ-систем.
Новая версия отчёта держится на трёх главных выводах. Первый касается практики: угрозы уже подтвердились. Архитектурные слабые места, которые в 2025 году обсуждали как возможные проблемы, теперь связаны с рабочими инцидентами, рекомендациями поставщиков и CVE почти по всем позициям из OWASP Top 10 for Agentic Applications. В документ добавили трекер реальных случаев и эксплуатаций, а глава с анализом угроз показывает, при каком расширении возможностей агента происходил сбой, лишний доступ или другое опасное действие.
Главная разница между агентом и обычным чат-ботом связана не с формулировками ответов, а с доступом к действиям. Чат-бот пишет текст. Агент может выполнить задачу через подключённый инструмент: обратиться к сервису, открыть файл, отправить запрос, изменить запись, создать сообщение или передать результат другой системе. Ошибка в правах, слабая проверка команды или неудачная интеграция в агентной среде быстро выходят за пределы модели и затрагивают корпоративную архитектуру, учётные записи, журналы и рабочие процессы.
Второй вывод OWASP касается границы между AI Safety и AI Security. В русском тексте удобнее разделять две области так: безопасность поведения ИИ отвечает за предсказуемость, вред от ошибок и нежелательные действия, а информационная безопасность ИИ занимается атаками, доступом, уязвимостями и расследованиями. Агентные системы смешивают обе области, потому что получают автономность и инструменты для работы за пределами одной модели. После запуска в компании разделить поведенческий риск и киберриск почти невозможно.
OWASP переносит центр внимания на слой развертывания. Под ним понимаются архитектурные решения, настройки, разрешения, права, журналы, ограничения, маршруты обработки инцидентов и рабочие процедуры, которыми управляет организация. Безопасность модели на стороне провайдера остается ответственностью разработчика модели. Но после подключения агента к рабочим системам одни и те же меры ограничивают вред от неправильного поведения и ущерб от атаки. Одни и те же журналы помогают понять, почему агент совершил опасное действие, получил лишний доступ или выполнил команду не в том контексте.
Организационный вывод из отчёта простой: команды AI Safety и AI Security не должны работать как два параллельных направления. При внедрении ИИ-агентов специалистам приходится управлять общими настройками, общими рисками и общими механизмами аварийной остановки. Агент действует быстрее человека, поэтому проверка раз в квартал или формальный аудит после запуска не закрывают риск.
Третий вывод связан с регулированием. Регуляторы уже исходят из того, что агент может причинить вред быстрее, чем человек успеет вручную проверить каждое действие. Поэтому новые требования всё чаще опираются на постоянный надзор, а не на редкие проверки. В отчёте приводятся разные сроки реагирования: DORA требует уведомлять о некоторых инцидентах в течение четырёх часов, NIS2 предусматривает раннее предупреждение за 24 часа, NY RAISE говорит о 72 часах для отчётности по передовым ИИ-системам, а калифорнийский SB 53 задаёт окно в 15 дней.
Разница в сроках показывает изменение логики контроля. Компаниям нужны не только политики, реестры и согласования. Нужны постоянное наблюдение за поведением агентов, базовые профили нормальной работы, сигналы отклонения, автоматическая передача инцидентов нужным командам и стоп-механизмы, которые срабатывают за секунды. Для агентных систем задержка сама превращается в риск: чем шире права и автономия, тем быстрее ошибка проходит через API, учётные записи и бизнес-процессы.
Вторая версия State of Agentic AI Security and Governance получила более практичную структуру. Анализ угроз теперь опирается на задокументированные случаи, а не только на гипотезы. Новый раздел о связи AI Safety и AI Security объясняет, почему привычное разделение команд плохо работает при запуске автономных систем. Трекер реальных инцидентов привязан к категориям OWASP Top 10 for Agentic Applications, поэтому руководители и инженеры могут сопоставить конкретные случаи с типами рисков.
Для компаний добавили Enterprise Adoption Maturity Model, модель зрелости внедрения агентного ИИ. Модель помогает оценить, соответствует ли управление сложности развернутых агентов. Чем больше самостоятельности у системы и чем шире доступ к инструментам, тем выше требования к правам, журналированию, мониторингу и аварийному отключению. Каждый раздел отчёта связан с категориями топ-10 для агентных приложений, поэтому документ можно использовать как карту для внутренней оценки.
Отдельная глава посвящена идентичности агентов и нечеловеческим учётным сущностям. OWASP рассматривает идентичность как новый уровень управления доступом. В обычном ПО компания контролирует пользователей, сервисные аккаунты, ключи и роли. В агентной среде появляется дополнительная сложность: автономная система может действовать от имени человека, сервиса или собственного технического идентификатора, обращаться к разным инструментам и передавать результат дальше. Без точного ответа на вопросы кто выполнил действие, от чьего имени и с какими правами расследование быстро упирается в пробелы журналирования.
Ещё один новый раздел разбирает AI SBOM и происхождение компонентов цепочки поставки. AI SBOM можно описать как ведомость состава ИИ-системы по аналогии с SBOM для программного обеспечения. Для агентных решений важны не только библиотеки и зависимости. В состав системы входят модели, инструменты, подключённые сервисы, наборы данных, плагины, политики доступа и внешние компоненты, через которые агент выполняет задачи. Происхождение этих элементов напрямую связано с безопасностью: компания должна понимать, какие части используются, кто поставил компоненты, как проходят обновления и где может появиться недоверенный элемент.
Таксономию агентов тоже пересобрали. Классификация теперь идет по трём независимым измерениям: тип агента, способ реализации и состав системы. Автономность проходит через всю схему как отдельная характеристика. Такой подход помогает не смешивать простого помощника для одного ограниченного шага с группой агентов, подключённой к рабочим инструментам компании и способной принимать решения в цепочке операций. Для оценки риска важен не сам факт использования ИИ, а вся конструкция вокруг агента.
Отчёт обновил и картину рынка. Экосистема описана на основе телеметрии по 53 отслеживаемым агентным проектам. Раздел о регулировании охватывает 42 инструмента в 10 юрисдикциях. Масштаб показывает, что обсуждение агентного ИИ вышло за пределы лабораторий и пилотных запусков. Вокруг автономных систем уже складываются практики, стандарты, надзорные требования и отдельные корпоративные роли.
Практический старт OWASP связывает с инвентаризацией. Сначала компании нужно найти самых продвинутых агентов, которые уже работают внутри организации. Затем руководству придется выбрать один из двух путей: поднять зрелость управления до уровня сложности развертывания или снизить уровень внедрения, если контроль не успевает за автономией. Особое внимание в отчёте уделяется теневому ИИ. По наблюдениям авторов, неофициальные или плохо учтённые ИИ-инструменты уже присутствуют почти в каждой изученной организации. Управлять такими системами нельзя, пока компания не обнаружит сами инструменты, доступы и реальные рабочие задачи.
Документ адресован прежде всего CISO, руководителям уровня C-level и старшим менеджерам, которые отвечают за безопасность, управление и стратегию внедрения агентного ИИ. Также отчёт рассчитан на архитекторов безопасности, инженеров ИИ и специалистов, которым нужно понять изменение ландшафта угроз. Подробные технические меры, чек-листы и практические схемы OWASP выносит в сопутствующие материалы, а сам отчёт задаёт рабочую рамку для руководителей, риск-команд, юристов и подразделений, связанных с соблюдением требований.
Отчёт вышел как часть OWASP Agentic Security Initiative, направления внутри OWASP GenAI Security Project. Общий проект GenAI Security объединяет более 600 участников из более чем 18 стран и занимается рекомендациями по безопасности больших языковых моделей и генеративного ИИ. Agentic Security Initiative сосредоточена на более узкой задаче: рисках, которые появляются после получения автономности и доступа к действиям через границы доверия. С момента первой версии отчёта инициатива выпустила несколько крупных материалов, включая OWASP Top 10 for Agentic Security, отраслевое руководство по защите автономных ИИ-агентов.
Вторая версия отчёта переводит разговор в прикладную плоскость. Компании должны найти работающих агентов, описать права, проверить уровень автономии, связать контроль с реальными действиями и заранее назначить команду, которая остановит систему при опасном поведении. Для ИИ-агентов вопрос уже не сводится к вероятности будущих инцидентов. Главная задача для служб безопасности: понять, какие агенты действуют в инфраструктуре прямо сейчас и хватит ли внутренних механизмов, чтобы остановить ошибку до прохода через API, учётные записи и бизнес-процессы.