Следующий кризис безопасности ИИ-агентов: Microsoft обнаружила, что одно вредоносное сообщение может прыгать по мульти-агентным сетям

Ключевое открытие

Исследовательская команда безопасности Microsoft на этой неделе раскрыла новый вектор атак для мульти-агентных систем: одно вредоносное сообщение может распространяться пошагово по мульти-агентным сетям.

Процесс:

1. Атакующий отправляет тщательно сконструированное вредоносное сообщение Агенту A
2. Агент A, обрабатывая сообщение, индуцируется произвести вывод, содержащий скрытые инструкции
3. Агент B принимает вывод Агента A как ввод, неосознанно наследуя скрытые инструкции
4. Агент B выполняет скрытые инструкции, извлекает приватные данные и производит новый вредоносный вывод
5. Агент C получает вывод Агента B… цепочка заражения продолжается

Ключевое понимание: Речь не о том, что один агент скомпрометирован. Вся сеть агентов может быть постепенно заражена одним сообщением.

Почему эта проблема была обнаружена только сейчас

Мульти-агентные системы — одно из самых горячих направлений в ИИ-индустрии 2026 года:

• Claude Cowork от Anthropic создаёт мульти-агентные рабочие процессы
• Codex Workflow Engine от OpenAI поддерживает мульти-агентную оркестрацию
• Open-source фреймворки, такие как Hermes Agent, CrewAI и LangGraph, продвигают мульти-агентные архитектуры
• Предприятия разворачивают десятки и даже сотни агентов для сложных бизнес-процессов

Индустрия опередила безопасность. Пока все занимаются тем, чтобы сделать агентов мощнее, автономнее и лучше в коллаборации, мало кто остановился и спросил: что произойдёт, если один агент будет заражён?

Исследование Microsoft дало ответ: заражена будет вся сеть.

Рекомендации по защите

Для проектировщиков мульти-агентных систем

• Реализуйте слои валидации ввода: Вывод каждого агента должен независимо проверяться перед передачей следующему
• Установите границы доверия: Агенты разных уровней безопасности должны работать в изолированных средах
• Аудируйте меж-агентную коммуникацию: Записывайте все передачи сообщений между агентами
• Ограничьте права агентов: Каждый агент должен иметь только минимальные права, необходимые для его задачи

Для предприятий, разворачивающих агентов

• Составьте топологию агентов: Понимайте роль и связи каждого узла в вашей сети агентов
• Определите критические пути: Найдите агентов, заражение которых повлияет на всю сеть
• Разверните обнаружение аномалий: Мониторьте паттерны поведения агентов
• Подготовьте планы реагирования на инциденты: Как быстро изолировать и восстановиться при заражении

Итог

Исследование перекрёстного заражения мульти-агентных систем от Microsoft и статья об отравлении агентов от UC Santa Cruz вместе указывают на один вывод: чем мощнее ИИ-агенты, тем больше их риски безопасности; когда несколько агентов сотрудничают, риск не линейно суммируется, а экспоненциально усиливается.

Речь не о том, чтобы остановить разработку мульти-агентных систем — речь о том, чтобы встроить безопасность с первого дня.