Дослідники виявили вразливості в агентних AI-технологіях ServiceNow та Microsoft, які можуть використати зловмисники. Забезпечення безпеки агентного штучного інтелекту вже зараз виявляється надзвичайно складним завданням, тому фахівці з кібербезпеки мають застосовувати принцип “мінімальних привілеїв” для AI-агентів.
- Агентний AI як можлива загроза для корпоративних мереж
- Як латеральне переміщення надає зловмисникам розширені привілеї
- BodySnatcher — найсерйозніша вразливість на основі AI
- Дослідники випередили хакерів
- Microsoft: функція Connected Agents увімкнена за замовчуванням
- Комунікацію між агентами складно моніторити
Агентний AI як можлива загроза для корпоративних мереж
Агентний штучний інтелект може перетворитися на ідеальний інструмент для кіберзловмисників. Після розгортання в корпоративних мережах AI-агенти з широким доступом до критичних систем можуть забезпечити той тип латерального переміщення в ІТ-інфраструктурі організації, про який мріє більшість зловмисників.
Як латеральне переміщення надає зловмисникам розширені привілеї
За словами Джонатана Волла, засновника та CEO Runloop — платформи для безпечного розгортання AI-агентів, — латеральне переміщення має викликати серйозне занепокоєння у фахівців з кібербезпеки в контексті агентного AI. “Припустимо, зловмисник отримує доступ до агента, але той не має необхідних дозволів для доступу до певного ресурсу. Якщо через цього першого агента зловмисник зможе підключитися до іншого агента з кращим набором привілеїв до цього ресурсу, він підвищить свої привілеї через латеральне переміщення та потенційно отримає несанкціонований доступ до конфіденційної інформації”, — пояснює Волл.
Концепція агентного AI настільки нова, що багато робочих процесів та платформ для розробки та безпечного надання таких агентів ще не врахували всі способи, якими зловмисник може експлуатувати їх існування. Це нагадує ранні дні розробки програмного забезпечення, коли мало програмістів знали, як писати код без створення величезних уразливостей.
Лідери підрозділу кібербезпеки Google нещодавно визначили тіньових агентів як критичну проблему. “До 2026 року очікується, що поширення складних AI-агентів загострить проблему тіньового AI до критичного виклику ‘тіньових агентів’. В організаціях співробітники будуть самостійно розгортати ці потужні автономні агенти для робочих завдань незалежно від корпоративного схвалення”, — зазначають експерти з підрозділів Mandiant та threat intelligence компанії Google. “Це створить невидимі, неконтрольовані канали для конфіденційних даних, що потенційно призведе до витоків даних, порушень відповідності та крадіжки інтелектуальної власності”.
Судячи з двох окремих випадків у сфері кібербезпеки, пов’язаних з агентним AI — один стосується ServiceNow, інший Microsoft, — агентна поверхня будь-якої ІТ-інфраструктури, ймовірно, стане привабливою метою для зловмисників, повною легко експлуатованих можливостей для латерального переміщення.
Після виявлення обох проблем, пов’язаних з агентним AI та взаємодією між агентами, ServiceNow усунула свої вразливості ще до того, як постраждали клієнти, а Microsoft видала рекомендації клієнтам щодо оптимальної конфігурації системи управління агентним AI для посилення безпеки агентів.
BodySnatcher — найсерйозніша вразливість на основі AI
На початку лютого 2026 року Аарон Костелло, керівник дослідницького підрозділу AppOmni Labs, вперше опублікував детальне пояснення того, як він виявив вразливість агентного AI на платформі ServiceNow, яка мала такий потенціал для шкоди, що AppOmni назвала її “BodySnatcher”.
“Уявіть собі неавтентифікованого зловмисника, який ніколи не входив у ваш екземпляр ServiceNow, не має облікових даних і сидить на іншому кінці світу. Маючи лише адресу електронної пошти цілі, зловмисник може видати себе за адміністратора та виконати AI-агента для обходу засобів безпеки та створення бекдор-облікових записів з повними привілеями. Це може надати майже необмежений доступ до всього, що зберігає організація: номерів соціального страхування клієнтів, медичної інформації, фінансових записів або конфіденційної інтелектуальної власності”, — написав Костелло в публікації на вебсайті AppOmni Lab. AppOmni Labs — це підрозділ threat intelligence дослідницької компанії AppOmni, постачальника корпоративних рішень для кібербезпеки.
Серйозність вразливості важко переоцінити. Якщо переважна більшість порушень безпеки включає крадіжку одного або кількох привілейованих цифрових облікових даних, ця вразливість — яка потребує лише легкодоступної адреси електронної пошти цілі — залишала вхідні двері широко відчиненими.
“BodySnatcher — найсерйозніша вразливість на основі AI, виявлена на сьогодні. Зловмисники могли б ефективно ‘дистанційно керувати’ AI організації, перетворюючи на зброю саме інструменти, призначені для спрощення роботи підприємства”, — повідомив Костелло.
“Це не був ізольований інцидент. Він базується на моїх попередніх дослідженнях механізму виявлення агентів ServiceNow, які в майже підручниковому визначенні ризику латерального переміщення детально описували, як зловмисники можуть обманом змусити AI-агентів залучати потужніших AI-агентів для виконання шкідливих завдань”, — зазначив Костелло.
Дослідники випередили хакерів
На щастя, це був один із кращих прикладів того, коли дослідник з кібербезпеки виявив серйозну вразливість раніше за зловмисників.
“На даний момент ServiceNow не знає про експлуатацію цієї проблеми в реальних умовах проти екземплярів клієнтів”, — зазначила компанія в публікації від січня 2026 року щодо вразливості. “У жовтні 2025 року ми випустили оновлення безпеки для екземплярів клієнтів, яке вирішило цю проблему”, — повідомив представник ServiceNow.
Згідно з вищезгаданою публікацією, ServiceNow рекомендує клієнтам “негайно застосувати відповідне оновлення безпеки або оновитися, якщо вони ще цього не зробили”. Ця порада, за словами представника, стосується клієнтів, які самостійно хостять свої екземпляри ServiceNow. Для клієнтів, які використовують хмарну (SaaS) версію від ServiceNow, оновлення безпеки було застосовано автоматично.
Microsoft: функція Connected Agents увімкнена за замовчуванням
У випадку з проблемою взаємодії агентів Microsoft (компанія розглядає це як функцію, а не помилку) бекдор також був виявлений дослідниками з кібербезпеки до того, як зловмисники змогли його експлуатувати. Етичні white-hat хакери з Zenity Labs виявили цю проблему. “Для уточнення: ми не спостерігали експлуатацію цього в реальних умовах”, — повідомив Майкл Баргурі, співзасновник та CTO Zenity Labs.
Це привернуло увагу через нещодавні зусилля Microsoft зробити можливим для всіх агентів — створених за допомогою інструментів розробки Microsoft, таких як Copilot Studio, чи ні — отримувати власні людиноподібні керовані ідентифікації та облікові дані за допомогою функції Agent ID в Entra, хмарному рішенні Microsoft для управління ідентифікацією та доступом.
Чому це необхідно? Між рекламованим підвищенням продуктивності, пов’язаним з агентним AI, та тиском керівництва зробити організації прибутковішими через AI, очікується, що організації найматимуть набагато більше агентів, ніж людей у найближчому майбутньому. Наприклад, дослідницька IT-компанія Gartner повідомила, що до 2030 року CIO очікують, що 0% IT-роботи виконуватиметься людьми без AI, 75% виконуватимуться людьми з підтримкою AI, а 25% виконуватиметься виключно AI.
У відповідь на очікуване поширення агентного AI ключові гравці в індустрії ідентифікації — Microsoft, Okta, Ping Identity, Cisco та OpenID Foundation — пропонують рішення та рекомендації, щоб допомогти організаціям приборкати це поширення та запобігти проникненню шахрайських агентів у їхні мережі.
Агент, створений за допомогою Copilot Studio, має функцію “connected agent”, яка дозволяє іншим агентам, незалежно від того, зареєстровані вони в Entra Agent Registry чи ні, латерально підключатися до нього та використовувати його знання та можливості. За повідомленням CybersecurityNews, “згідно з Zenity Labs, зловмисники експлуатують цю прогалину, створюючи шкідливих агентів, які підключаються до легітимних привілейованих агентів, особливо тих, що мають можливості надсилання електронної пошти або доступ до конфіденційних бізнес-даних”. Zenity опублікувала власну статтю на цю тему під назвою “Connected Agents: The Hidden Agentic Puppeteer”.
Ще гірше те, що за замовчуванням ця функція увімкнена для всіх нових агентів у Copilot Studio. Іншими словами, коли створюється новий агент у Copilot Studio, він автоматично може приймати з’єднання від інших агентів.
“Connected Agents забезпечують сумісність між AI-агентами та корпоративними робочими процесами. Їх повне відключення порушило б основні сценарії для клієнтів, які покладаються на співпрацю агентів для продуктивності та оркестрації безпеки. Це дозволяє делегувати контроль IT-адміністраторам”, — повідомив представник Microsoft. Іншими словами, Microsoft не розглядає це як вразливість. І Баргурі з Zenity погоджується: “Це не вразливість, але це прикра недоробка, яка створює ризик. Ми працюємо з командою Microsoft, щоб допомогти розробити кращий дизайн”.
Навіть після пропозиції, що це може бути небезпечно за замовчуванням або за дизайном, Microsoft була категорична та рекомендувала: “для будь-якого агента, який використовує неавтентифіковані інструменти або має доступ до конфіденційних джерел знань, вимкніть функцію Connected Agents перед публікацією агента. Це запобігає доступу шкідливих агентів до привілейованих можливостей”.
Комунікацію між агентами складно моніторити
Також було досліджено можливість моніторингу активності взаємодії між агентами з ідеєю, що IT-адміністратори могли б отримувати сповіщення про потенційно шкідливі взаємодії або комунікації.
“Безпечне використання агентів вимагає знання всього, що вони роблять, щоб можна було аналізувати, моніторити та спрямовувати їх подалі від шкоди. Це має починатися з детального трейсингу. Це виявлення висвітлює значну сліпу зону у роботі функції connected agents Microsoft”, — зазначив Баргурі.
Відповідь представника Microsoft полягала в тому, що “Entra Agent ID забезпечує шлях ідентифікації та управління, але сам по собі не створює сповіщень для кожної міжагентської експлуатації без налаштованого зовнішнього моніторингу. Microsoft постійно розширює захист, щоб надати захисникам більше видимості та контролю над поведінкою агентів для закриття таких експлойтів”.
Зіткнувшись з ідеєю агентів, відкритих для з’єднання за замовчуванням, Волл з Runloop рекомендував організаціям завжди застосовувати позицію “мінімальних привілеїв” при розробці AI-агентів або використанні готових рішень. “Принцип найменших привілеїв в основному говорить, що ви починаєте в будь-якому виконавчому середовищі, надаючи агенту доступ майже ні до чого. А потім ви додаєте лише привілеї, які суворо необхідні для виконання його роботи”, — пояснив Волл.
Алекс Саймонс, корпоративний віце-президент Microsoft з AI Innovations, описуючи цілі Microsoft щодо управління агентами, зазначив, що одним із трьох викликів, які вони прагнули вирішити, було “управління дозволами цих агентів і забезпечення моделі найменших привілеїв, де агенти можуть робити лише те, що вони повинні робити. Якщо вони починають робити дивні або незвичайні речі, їхній доступ автоматично обмежується”.
Звичайно, існує велика різниця між “можуть” і “роблять”, тому в ім’я найкращих практик найменших привілеїв всі агенти повинні, як запропонував Волл, починати без можливості приймати вхідні з’єднання, а потім покращуватися звідти за необхідності.
