Вы дали ИИ-агенту ключи от почты и платежей. Одна строка на веб-странице может их украсть

За последний год привычный чат-бот дорос до кое-чего посерьезнее. Он больше не просто отвечает на вопросы, а сам ходит по сайтам, заполняет формы, кликает по ссылкам и оформляет заказы. Это ИИ-агент в браузере, и его уже раздают массово: у OpenAI это Atlas, у Perplexity браузер Comet, а в России Яндекс запустил Алису в режиме агента. Задумка понятная и заманчивая: переложить на алгоритм скучную рутину, пока вы заняты чем-то поумнее. Загвоздка в том, что у этой конструкции есть встроенная слабость, которую сами разработчики называют, возможно, нерешаемой. Несколько слов, спрятанных на обычной веб-странице, могут тихо перехватить агента и развернуть его против вас. И это не страшилка из презентации вендора по кибербезопасности, а то, что уже показали на живых продуктах.

Что такое захват агента и почему это новый класс угроз

Примеры уже не гипотетические. Сразу после запуска Atlas в октябре исследователи показали, что пары слов, спрятанных в Google-документе, хватает, чтобы поменять поведение браузера. Компания Brave, которая занимается приватностью, разобрала целый набор таких трюков: команды можно замаскировать в скриншоте бледным текстом, который человек не различает, а модель читает как обычную надпись; в браузере Opera Neon инструкции размещали в прозрачных HTML-тегах; а в агентном браузере Fellou достаточно было открыть вредоносную страницу, чтобы он начал выполнять ее указания.

Самый громкий случай получил имя CometJacking. Исследователи LayerX собрали атаку, в которой хватает одного клика по подготовленной ссылке: браузер Comet разбирает параметры в адресе как команды, лезет в память ассистента и в подключенные Gmail и Календарь, кодирует добытые данные и отправляет их на сервер злоумышленника, маскируя, чтобы проскочить мимо защитных фильтров. Пароль при этом никто не вводит и фишинговое письмо не открывает. Человек думает, что просто задал ассистенту безобидный вопрос.

И вот что в этой истории самое неприятное. Сам OpenAI в декабре официально признал, что инъекции промпта, как и обычное мошенничество в сети, вряд ли когда-нибудь удастся решить полностью, а режим агента в Atlas прямо расширяет поверхность атаки. Британский центр кибербезопасности NCSC высказался в том же духе: такие атаки, возможно, никогда не удастся полностью нейтрализовать, и профессионалам советуют снижать не вероятность, а ущерб.

Почему это опаснее обычной дыры в браузере

Ключевое отличие в том, что агент действует от вашего имени и с вашими правами. Он видит те страницы, куда вы уже залогинены, у него под рукой ваши сессии, куки, история, почта, иногда и платежные данные, и он способен переносить информацию между сайтами, которые по всем правилам должны быть изолированы друг от друга. Привычные механизмы веб-безопасности вроде разделения по источникам тут не спасают, потому что с точки зрения сайта действует не подозрительный скрипт, а вы сами.

Специалист по безопасности из компании Wiz предлагает простую формулу риска: автономность, умноженная на доступ. Агентные браузеры сидят в самой неудобной точке этой шкалы, у них умеренная автономность и при этом очень высокий доступ к чувствительным данным. Его же вывод звучит отрезвляюще для любого, кто спешит с внедрением: для большинства повседневных сценариев такие браузеры пока не приносят достаточно пользы, чтобы оправдать свой уровень риска.

И это уже не теория. В 2026 году зафиксированы реальные инциденты, когда ИИ-агенты сами удаляли файлы и кодовые базы на машинах пользователей и выкладывали конфиденциальные корпоративные данные в открытый доступ, а в одном случае агент сотрудника технологической компании слил во внешнюю сеть внутренние данные. С распространением протоколов вроде MCP, через которые агент получает доступ к внешним инструментам, классические способы защиты, системные промпты и ручное тестирование, перестали закрывать проблему. Аналогия тут простая: агент это дворецкий, которому вы отдали ключи от всего дома. Пока он честный, все удобно. Но ему можно незаметно передать записку с чужими распоряжениями, и он выполнит их с тем же усердием.

Что это меняет для бизнеса

Пока это выглядит как забота отдельного пользователя, но для компаний ставки выше. Агентов и корпоративных копилотов сейчас пилотит чуть ли не каждый второй бизнес, и подключают их ровно туда, где живет ценное: почта, CRM, документы, внутренние базы. Поверхность атаки при этом почти безгранична, потому что чужая инструкция может прилететь откуда угодно, из письма, вложения, страницы с пользовательским контентом вроде форума или отзыва. Одно отравленное письмо в общем ящике поддержки, и агент, разбирая обращения Клиентов, может утащить наружу базу или отправить данные не туда.

Из этого вырастает сдвиг в том, кто на этом рынке выиграет. Гонка за возможностями агентов упирается в гонку за доверием. Вендор, который умеет показать эффектное демо, где ассистент сам собирает корзину и бронирует отель, больше не побеждает автоматически. Побеждает тот, кто внятно отвечает на вопрос службы безопасности: как ограничен доступ, где журнал действий, спросит ли агент подтверждения перед опасным шагом. Показательно, что и рекомендации самих разработчиков сместились в эту сторону: давать агенту узкие конкретные задачи вместо широкого доступа с формулировкой «делай что нужно», и требовать подтверждения перед отправкой сообщений и платежами. Отдельная головная боль это теневое внедрение, когда сотрудники сами цепляют агентов к рабочим аккаунтам, без ведома ИБ, и вся выстроенная защита проходит мимо.

Российский контекст и что с этим делать

В России этот сюжет не в стороне, а идет почти синхронно. Яндекс первым на рынке запустил браузерного ИИ-агента: Алиса в режиме агента сама разбирает задачу на шаги, ходит по сайтам, заполняет формы и кликает, и даже подстраивается под редизайн магазина, находя, куда переехало поле для промокода. Летом 2026 года у компании появилась платформа для создания агентов, уже открыты агенты Такси и Лавки, а до конца года подключат внешних партнеров. Агенты у нас не завтрашняя история, а сегодняшняя, и Клиентские данные они трогают уже сейчас.

Российские игроки, впрочем, заходят в это с оглядкой на безопасность, и правильно делают. Для бизнеса Яндекс предлагает отдельную версию ассистента с размещением на своих серверах, без обучения на данных Клиента и с журналами аудита, а корпоративный браузер в конце июня научился автоматически реагировать на подозрительные действия и утечки. Лаборатория Касперского прямо пишет, что инъекция промпта для агентов опаснее, чем для чат-ботов, и что автономный агент по умолчанию не является безопасным выбором для большинства.

Что забрать руководителю, который уже смотрит в сторону агентов. Относитесь к агенту как к новому сотруднику на испытательном сроке: выдавайте минимум прав под конкретную задачу, а не доступ ко всему сразу. Держите человека в контуре на необратимых действиях, отправке писем, платежах, удалении, чтобы агент переспрашивал, а не жал кнопку сам. Не пускайте агента с чувствительными задачами на площадки с чужим пользовательским контентом, где проще всего подсунуть скрытую команду. Ведите журнал действий и выясните, кто в компании уже подключил себе такого помощника без спроса. И трезво считайте пользу против риска: если агент экономит десять минут, но имеет доступ к почте и деньгам, цена ошибки несопоставима с выгодой. Технология полезная и никуда не денется, но пускать ее к штурвалу стоит с той же осторожностью, с какой вы выдаете новому человеку ключи, пароли и право подписи. Пока индустрия сама признает, что дыру до конца не закрыть, эта осторожность и есть ваша главная защита.