Популярные системы управления ИИ оказались абсолютно беззащитными
Жажда прогресса снова победила здравый смысл и логику.
Проверка популярных фреймворков для ИИ-агентов показала системные проблемы с безопасностью доступа. Команда Grantex Research изучила 30 открытых проектов с совокупной популярностью более 500 тысяч звёзд на GitHub и пришла к выводу, что почти все решения используют примитивные схемы авторизации, которые не позволяют контролировать действия агентов и отслеживать их поведение.
Анализ затронул такие параметры, как разграничение прав, наличие уникальной идентичности агента, согласие пользователя, отзыв доступа, аудит действий и контроль делегирования. Результаты оказались тревожными. В 93% случаев разработчики ограничиваются API-ключами без ограничений по правам. Такие ключи хранятся в переменных окружения и дают агенту полный доступ ко всем операциям от имени владельца. Ограничить действия агента, задать срок действия доступа или указать конкретный контекст невозможно.
Ни один из изученных проектов не внедрил уникальную идентичность для каждого агента. При использовании одного ключа несколькими агентами определить, кто выполнил конкретное действие, невозможно. Отсутствие такой привязки лишает системы прозрачности и усложняет расследование инцидентов.
Почти во всех проектах отсутствует механизм согласия пользователя. В 97% случаев доступы задаются разработчиком заранее, без участия конечного пользователя. Даже в тех решениях, где предусмотрено ручное подтверждение действий, речь идёт лишь о паузе в выполнении, а не о полноценной выдаче ограниченных прав.
С отзывом доступа ситуация не лучше. Все проекты используют бинарную модель — либо смена ключа для всех агентов, либо отсутствие изменений. При работе нескольких агентов компрометация одного требует полной замены учётных данных, что увеличивает масштаб последствий.
Журналирование действий встречается редко и, как правило, реализовано на уровне приложения. Только 13% проектов ведут какие-либо логи, но даже в этих случаях записи не связывают конкретное действие с агентом, пользователем и выданными правами. Контроль делегирования также отсутствует: при взаимодействии агентов доступы либо полностью передаются дальше, либо дублируются без ограничений.
Проблема уже вышла за рамки теории. В феврале 2026 года специалисты обнаружили более 21 тысячи открытых экземпляров OpenClaw с утечками ключей и токенов. Анализ серверов MCP показал уязвимости, включая отсутствие аутентификации и шифрования. В других инцидентах утекли миллионы ключей и учётных данных, что подтвердило риски централизованного хранения учётных данных для доступа.
Вывод отчёта однозначный: текущие архитектуры ИИ-агентов не соответствуют базовым требованиям безопасности. Авторы предлагают внедрять ограниченные токены доступа, уникальную идентичность агентов, механизмы согласия пользователя, выборочный отзыв прав, полноценный аудит и контроль цепочек делегирования. Без этих мер системы с агентами остаются уязвимыми и могут стать одной из ключевых точек атак в ближайшие годы.