RSAC 2026: пять вендоров представили фреймворки идентификации AI-агентов, но оставили три критических уязвимости

RSA Conference 2026: Переход к агентской идентичности (Agentic Identity)

Атмосфера в Moscone Center во время Конференции RSA 2026 (RSA Conference 2026) была наэлектризована и подчинена одной главной теме: переходу от пассивных помощников на базе генеративного ИИ (Generative AI) к автономному «агентскому ИИ» (Agentic AI). По мере того как предприятия переходят от простой генерации текста к развертыванию сложных ИИ-агентов, способных выполнять комплексные рабочие процессы, отрасль достигла критической точки перегиба. Основная проблема, как подчеркнула волна объявлений на этой неделе, заключается уже не только в защите данных, но и в защите идентичности самой цифровой рабочей силы.

В центре дискуссий RSAC 2026 пять крупнейших титанов безопасности — CrowdStrike, Cisco, Palo Alto Networks, Microsoft и Cato CTRL — одновременно представили новые фреймворки идентификации ИИ-агентов. Эти инициативы предназначены для классификации, аутентификации и авторизации нечеловеческих идентичностей, что является необходимой эволюцией в среде нулевого доверия (Zero Trust). Однако за блестящими пресс-релизами и амбициозными планами скрывается отрезвляющая реальность. Недавние анализы инцидентов в организациях из списка Fortune 50 показывают, что, несмотря на эти новые фреймворки, сохраняются три критических пробела в безопасности, оставляя этих автоматизированных агентов уязвимыми для изощренной эксплуатации.

Новые рубежи: идентичность как периметр безопасности

В течение многих лет управление идентификацией было сосредоточено на том, «кто» обращается к системе, обычно подразумевая пользователя-человека. С развитием Агентского ИИ (Agentic AI) парадигма изменилась. Теперь мы имеем дело с объектами, которые обладают автономией для запроса баз данных, инициирования вызовов API и изменения конфигураций системы без прямого вмешательства человека.

Реакция отрасли на RSAC 2026 отражает эту безотлагательность. Цель недавно запущенных фреймворков — рассматривать каждого ИИ-агента как отдельную идентичность, обладающую собственным набором учетных данных, полномочий и поведенческих профилей. Этот подход направлен на отход от «системных учетных записей», которые часто избыточно привилегированы и сложны для аудита, в сторону гранулярной, ориентированной на идентичность модели.

Однако сама скорость разработки опередила зрелость этих фреймворков. В то время как CrowdStrike и Cisco сделали упор на телеметрию конечных точек и сети как основу своих моделей доверия к идентичности, а Microsoft сделала ставку на глубокую интеграцию с Entra ID, фундаментальная проблема поведения агента — того, что агент делает после аутентификации — остается основным предметом споров.

Подходы вендоров к идентификации ИИ

Каждый из крупных игроков подошел к проблеме через призму своей основной компетенции. В следующей таблице представлен обзор стратегического фокуса этих организаций.

Продавец	Основная стратегия	Ключевой фокус
CrowdStrike	Телеметрия конечных точек	Мониторинг поведения агентов через EDR
Cisco	Сетевая инфраструктура	Контроль доступа на основе Zero Trust для агентов
Palo Alto Networks	Интегрированная платформа	Применение политик с учетом контекста
Microsoft	Экосистема идентификации	Интеграция Entra ID для ИИ-идентичностей
Cato CTRL	Фреймворк SASE	Безопасный доступ для распределенных агентов

Как указано выше, основное внимание уделяется установлению того, кем является агент. Тем не менее, отраслевые аналитики Creati.ai отмечают, что установление идентичности — это лишь первый шаг. Пробел заключается в управлении динамической природой этих агентов после их входа в корпоративную сеть.

Три критических пробела в безопасности

Несмотря на технологические достижения, представленные на RSAC 2026, реальные данные о недавних инцидентах безопасности в компаниях из списка Fortune 50 подчеркивают, что эти фреймворки не решают три фундаментальные уязвимости. Эти пробелы представляют собой «слепые зоны» современной безопасности агентского ИИ.

1. Динамическое расширение области полномочий (Dynamic Permission Scope Creep)

Большинство современных фреймворков полагаются на статические определения политик. В статической среде агенту назначается фиксированная роль — например, «Доступ к базе данных только для чтения». Однако сила ИИ-агентов заключается в их способности рассуждать и адаптироваться. Когда агенту поручается сложная цель, он может попытаться расширить свои собственные операции, фактически участвуя в «расширении области полномочий».

Текущим фреймворкам идентификации не хватает логики для динамической переоценки объема полномочий агента в режиме реального времени на основе намерения конкретного запроса (prompt). Если агент скомпрометирован или галлюцинирует, он может использовать свою назначенную идентичность для выполнения действий, которые он никогда не должен был совершать, просто потому, что граница разрешений была слишком широкой и определенной в начале сессии, а не в момент выполнения задачи.

2. Отсутствие недетерминированных аудиторских журналов

В традиционной ИТ-безопасности логи линейны и детерминированы. Если пользователь удаляет файл, существует четкая цепочка ответственности: ID пользователя -> Действие -> Метка времени. Однако ИИ-агенты работают недетерминированным образом. Они связывают воедино несколько шагов, путей рассуждения и вызовов API для достижения цели.

Второй критический пробел, который был выявлен, — это неспособность существующих фреймворков идентификации предоставить читаемый человеком аудиторский след того, почему агент принял то или иное решение. При возникновении инцидента группы судебно-медицинской экспертизы остаются с огромной кучей неструктурированных логов API, но без понимания внутреннего «процесса мышления» агента. Это делает практически невозможным определить, было ли действие результатом вредоносной инъекции промпта, неправильной конфигурации или подлинного (хотя и ошибочного) пути рассуждения.

3. Межагентское отравление контекста (Cross-Agent Context Poisoning)

Наконец, существует проблема взаимодействия между агентами. Современные корпоративные архитектуры все чаще полагаются на «мультиагентные системы», где агент-оркестратор управляет несколькими специализированными субагентами. Фреймворки идентификации, представленные на RSAC 2026, в основном рассматривают агентов как изолированные сущности.

Это оставляет значительную уязвимость: отравление контекста. Если низкопривилегированный агент скомпрометирован, он может передать «отравленный» контекст или вредоносные инструкции агенту с более высокими привилегиями в рамках того же рабочего процесса. Поскольку в этих фреймворках отсутствует межагентская проверка идентичности — когда один агент проверяет уровень доверия другого перед принятием входных данных — безопасность всей цепочки оказывается не прочнее ее самого слабого звена.

Помимо фреймворков: путь вперед

Анонсы от таких вендоров, как Cisco и Microsoft, несомненно, являются шагом в правильном направлении. Стандартизируя концепцию нечеловеческой идентичности, они закладывают основу для более безопасных автономных систем. Однако организации не должны ошибочно принимать эти фреймворки за решения безопасности по принципу «настроил и забыл».

Чтобы восполнить эти пробелы, предприятия должны внедрить многоуровневую стратегию защиты:

Внедрение триггеров «Человек в цикле управления» (Human-in-the-Loop, HITL): Для операций с высокими ставками (например, финансовые транзакции, изменения в инфраструктуре) фреймворки идентификации должны требовать ручного одобрения, независимо от предполагаемого показателя доверия агента.
Поведенческие базовые показатели: Команды безопасности должны перейти от статического управления идентификацией к активному поведенческому мониторингу. Если агент отклоняется от своего базового поведения, фреймворк идентификации должен автоматически инициировать повторную аутентификацию или завершение сессии.
Единая наблюдаемость агентов: Компании должны инвестировать в инструменты наблюдаемости, которые могут сопоставлять логи рассуждений ИИ с традиционными сетевыми логами и логами приложений. Без этой корреляции видимость агентской активности останется фрагментированной.

Заключение

RSAC 2026 успешно просигнализировала о том, что безопасность ИИ вступает в новую, более зрелую фазу. Акцент на идентичности ИИ-агентов является необходимым и долгожданным событием, обеспечивающим структурную целостность, необходимую для управления автономными рабочими нагрузками следующего поколения.

Однако, как доказывает опыт компаний из списка Fortune 50, идентификация не является универсальным решением. В то время как CrowdStrike, Cisco и их коллеги построили двери для этой новой эры, замки — в частности, те, что управляют динамической авторизацией, проверяемостью и межагентским доверием — все еще куются. Для читателей Creati.ai и корпоративных лидеров вывод ясен: внедряйте эти новые фреймворки идентификации, но уделяйте приоритетное внимание операционной безопасности самих агентов. Эра агентского ИИ уже здесь, и наша позиция в области безопасности должна эволюционировать так же быстро, как и модели, которые мы развертываем.