AI-агенты в работе службы ИБ: 18 аудитов, миллионы логов и честный счёт «AI против ручного анализа»

от автора

Разбираем на реальных кейсах, что AI-агент уже умеет делать в сетевой безопасности – аудит правил межсетевого экрана, разбор логов IPS и DNS, ред-тиминг – где он экономит часы работы, а где остаётся источником риска. И почему ограничивать нужно не сам AI, а данные, права и действия агента.

Матч, который уже идёт

Пока мир смотрит чемпионат мира по футболу, в кибербезопасности идёт свой чемпионат – AI против AI. С одной стороны поля агенты атакующих: они ускоряют разведку, генерируют эксплойты, двигаются внутри сети. С другой – агенты защитников, которые читают конфигурации, разбирают журналы и помогают специалисту принимать решения быстрее.

Мы в Ideco последние месяцы гоняли AI-агентов на реальных задачах службы ИБ и собрали результаты первых двух десятков аудитов. Сразу зафиксируем главный тезис, чтобы снять лишние ожидания: мы не продаём магическую автоматизацию «без человека». Ценность появляется ровно там, где специалист задаёт агенту контекст, правила, доступы и критерии проверки. Агент ускоряет работу, но безопасность обеспечивают правильно настроенные средства защиты, процесс контроля и экспертная валидация.

Эта статья – практический разбор. Мы показываем конкретные кейсы на Ideco NGFW Novum, но всё описанное переносится на любое средство защиты с нормальным машинным интерфейсом. Речь не про конкретный продукт, а про новый слой автоматизации, который меняет работу безопасника.

От чат-бота 2022 года до автономного агента 2026-го

Чтобы понять, почему агенты «выстрелили» именно сейчас, полезно вспомнить короткую хронологию.

В 2022 году появились первые массовые языковые чат-боты. Они сильно галлюцинировали: у одного из нас был показательный кейс, когда модель на просьбу порекомендовать 30 книг, нейронка выдумала 20 несуществующих. Вывод тогда напрашивался простой – игрушка, не более.

В 2023–2024 годах заработал prompt engineering, а вместе с ним пришёл RAG (Retrieval-Augmented Generation) – подход, при котором ответ модели дополняется релевантными данными из внешнего источника. AI начал понимать не только вопрос, но и контекст.

В 2025 году появились контекстное окно, управление токенами сессии, навыки (skills) и проекты. AI уже мог выполнять часть работы, но всё ещё нуждался в человеке, который задаст контекст и подскажет, что и как делать.

И только в 2026-м, буквально с февраля, взлетели агенты. Ключевое отличие – harness: обвязка вокруг модели, которая получает задачу, сама подбирает нужные инструменты из доступных и выполняет последовательность действий. Это и есть переход от «ответь на вопрос» к «выполни задачу».

Чат-бот, ассистент, агент – в чём разница

Граница проходит по способности действовать. Чат-бот отвечает в рамках переписки. Ассистент может при определённых условиях исполнять код или дёргать API. Агент делает то, чего не умели предыдущие поколения:

  • сам планирует последовательность шагов;

  • выбирает навыки под задачу;

  • работает в «петле с памятью» – возвращается к результатам предыдущих шагов, переосмысливает их и корректирует план.

Именно петля с памятью превращает языковую модель в работника, а не в собеседника.

Анатомия агента: голова, глаза, руки, память, ноги

Устройство любого AI-агента удобно разложить на пять частей.

Часть

Что это

Технически

Голова

LLM, которая рассуждает и планирует

Claude, GPT, Qwen и др. – ядро можно заменить, логика агента не изменится

Глаза

Контекстное окно – то, что агент «видит»

Логи, конфиги, документация, правила, результаты предыдущих шагов

Руки

Tool use – вызов инструментов

REST API, bash, обращение к журналам

Память

Долговременное хранилище знаний

SKILL.md, векторная база (RAG)

Ноги

Harness – обвязка исполнения

Цель → петля «действие → оценка → шаг»

 

Отсюда – первый практический вывод. Разница между агентами чаще не в «магии модели», а в том, какие инструменты и навыки к ней подключены. Один и тот же LLM-движок бесполезен без доступа к данным и очень полезен, когда видит журналы, умеет ходить в API и знает, как оформить результат для ИБ-специалиста.

Отдельное предупреждение по гигиене: не вставляйте секреты и API-ключи прямо в запрос к модели. Правильнее дать агенту контролируемый доступ к локальному файлу или секрету через окружение и явно ограничить, что он может делать. Любая вменяемая модель сама подскажет: «ключ не присылай, скажи, где он лежит, я туда обращусь». Это снижает риск утечки и упрощает аудит.

Выбор агента и модели: дешёвое ≠ дёшево

Универсальный агент или специализированный

На рынке идёт спор: победят агенты общего назначения со специализированными навыками или узкоспециализированные агенты. Мы склоняемся к первому сценарию – по аналогии со смартфоном, который вытеснил диктофон, плеер и мыльницу. Специализированные устройства эффективнее в своей нише, но универсальное решение выигрывает за счёт охвата.

Сравним четыре популярных инструмента. Два универсальных – Hermes Agent и OpenClaw – и два специализированных open source агента для пентеста.

Критерий

Hermes Agent

OpenClaw

PentAGI

PentestGPT

ИБ-навыки из коробки

web-pentest, red-teaming, OSINT

через ClawHub

20+ tools (nmap, metasploit, sqlmap)

Web/CTF-фокус

Звёзд на GitHub

~207 тыс.

~376 тыс.

~14 тыс.

Стек

лёгкий (SQLite + FTS5)

средний

тяжёлый (Postgres/ClickHouse/Grafana)

тяжёлый

Локальный / self-hosted LLM

да (Ollama, LM Studio, vLLM)

да

да

ограниченно

MCP / провайдеры

полный MCP, 30+

полный MCP, 20+

10+

Claude Code

Найденные CVE (агент)

1

много

 

OpenClaw – абсолютный лидер по популярности, но именно из-за огромной поверхности в нём находили больше уязвимостей и вредоносных навыков. Как говорил Конфуций (в нашей вольной трактовке): кто зимой не пробовал OpenClaw – у того нет сердца, а кто весной не перешёл на Hermes – у того нет ума.

Мы выбрали Hermes как оптимум для ИБ: проще по коду, быстрее закрываются уязвимости, встроенные навыки веб-пентеста, ред-тиминга и OSINT. Это наш выбор, а не универсальная истина – если основная задача пентест, PentestGPT может оказаться удобнее.

Дешёвая модель часто обходится дороже

Самый контринтуитивный момент. Кажется логичным взять модель в пять раз дешевле и получить пятикратную экономию. На практике это не работает.

Мы публиковали на Хабре сравнение бесплатной Owl Alpha (одна из самых популярных моделей на OpenRouter, по духу близкая к дешёвым китайским моделям) и Claude Opus. Разница как между стажёром и мидл-специалистом:

  • Owl Alpha даёт базовый диагноз, но слабо фильтрует шум и не «думает на шаг вперёд»;

  • Opus проходит петлю несколько раз, коррелирует данные и выдаёт качественный результат.

Дешёвая модель делает больше итераций, чаще ошибается, задаёт лишние вопросы – и по токенам может выйти дороже сильной модели на порядок. Частично разрыв нивелирует хороший навык с чёткой инструкцией, но общий принцип остаётся: дешёвый путь не всегда дешёвый.

Отсюда рабочая схема – многоуровневый пайплайн. Первичный триаж и фильтрацию шума делаем на дешёвой Owl Alpha, а глубокое расследование инцидента, корреляцию логов и финальный разбор передаём на Claude Opus. Hermes умеет переключать модели сам или запускать субагентов (по умолчанию до 20) – каждый со своей подзадачей и своим контекстным окном. Финальное решение всегда остаётся за человеком.

Практика 1: AI-аудит правил межсетевого экрана

Первый и самый показательный кейс – анализ правил firewall. Методика простая: агент через read-only REST API читает правила FORWARD/INPUT, DNAT/SNAT, состояние логирования и fail2ban, сопоставляет с контекстом и выдаёт отчёт.

Что показали первые 18 аудитов конфигураций Ideco NGFW Novum:

  • 0 критических ошибок. Наши клиенты – сильные администраторы, прямо критичных правил в этих матчах агент не нашёл.

  • 551 попытка атаки на один из узлов – реальные боевые события, которые агент вытащил из журналов.

Ценность здесь не в одном драматичном «нашёл дыру», а в регулярной уборке конфигурационного долга.

Топ-6 «автоголов» в настройке

Повторяющиеся дефекты, которые агент находил чаще всего:

  1. Threat-intel выключен. Списки ФинЦЕРТ и IP-blocklist (агрегируют данные ФинЦЕРТ, НКЦКИ и других источников, обновляются автоматически с наших серверов) не подключены к drop-правилам. Известные вредоносные IP не блокируются – ни на вход, ни на выход к командным центрам.

  2. Логирование отключено там, где оно важно – атаки просто не попадают в журнал.

  3. ANY→ANY без инспекции. Широкие разрешающие правила без IPS и контроля приложений. Если что-то разрешаете – разрешайте с инспекцией IPS и DPI, отсекая ненужные приложения (в нашем L7-фаерволе их более 450: торренты, криптомайнеры, игры и т. д.).

  4. Опасные DNAT-публикации. Сырой проброс SMTP (25) в обход mail relay, публикация RDP и Zabbix-agent без ограничения по источнику и GEO IP.

  5. Затенённые правила. Shadowed и dead-правила, дубли, правила без комментариев – по отрасли доходит до 37% цепочки.

  6. Неработающий fail2ban. Злоумышленники подстраиваются под пороги, и постоянные баны не выдаются.

Самые яркие голы реальных атак

Из журналов агент вытащил конкретные боевые кейсы:

  • Сервер под постоянной нагрузкой на подбор паролей: 551 попытка с 21 IP-адреса, при этом fail2ban не выдавал постоянных банов. Агент сразу отдаёт готовые к копированию сети и IP для блокировки.

  • Таргетированные атаки на VPN и RDP. По данным зарубежных аналитиков, RDP фигурирует примерно в 90% инцидентов с шифровальщиками – за ним обычно скрывается терминальный сервер.

  • Соединения с сетями и командными центрами злоумышленников – так мы помогали клиентам находить уже заражённые хосты внутри периметра.

Итоговый счёт по аудитам: 0 CRITICAL, 12 HIGH, 8 MEDIUM, 5 LOW. Важный нюанс: агент подсвечивает ошибку и рекомендует блокировку, но защищает не он сам, а правильно настроенное средство защиты. Агент – аналитик и ускоритель, а не замена сетевой политики.

Практика 2: AI-анализ логов IPS и DNS Security

Второй круг – разбор журналов системы предотвращения вторжений и DNS Security. Здесь главная боль очевидна: объём. На одном узле обрабатывается почти 1,8 млн записей журналов безопасности, а за сутки в IPS может набегать до 1,3 млн событий. Руками это не разобрать, даже если смотреть только критичные.

Агенту на анализ такого массива нужны секунды или минуты. Результат по одному из узлов: 20 350 срабатываний свернулись в 29 приоритизированных рекомендаций. Триаж за минуты, а не за дни.

Что именно агент вытаскивает и как борется с шумом:

  • Корреляция источников. Связывает события firewall, IPS и DNS, чтобы понять, реально ли хост заражён или это ложное срабатывание.

  • Отсев шума. Убирает срабатывания от легитимных облачных сервисов и CDN, привязывает события к пользователю.

  • Репутационная проверка. Через VirusTotal API проверяет подозрительные индикаторы (на бесплатном тарифе – 4 запроса в минуту, 500 в день; агент сам соблюдает лимиты).

Показательные голы AI-команды

  • Свежий (зарегистрированный в мае) исландский домен со случайными поддоменами и активным DNS-туннелированием. Обращения шли из Wi-Fi-сегмента склада – там оказалось заражённое оборудование.

  • Заражённые АРМ в бухгалтерском сегменте с DNS-туннелированием и shellcode. Финансовый контур традиционно под прицелом, потому что там проще монетизировать доступ.

  • Shadow IT: незаявленные AnyDesk и TeamViewer, о которых служба ИБ часто не знает.

Отдельно стоит отметить ценность DNS-канала. Он позволяет заблокировать угрозу до соединения – на самом раннем этапе закрепления злоумышленника. Это закрывает слепую зону, которая образуется, если не следить за DNS-трафиком отдельно. По отраслевым данным, подавляющее большинство образцов вредоносного ПО используют DNS как ключевую функцию – игнорировать этот канал нельзя.

Расследование конкретного хоста

Когда что-то нашлось – например, сигнатура исходящего трафика к командному центру ботнета – того же агента можно попросить расследовать хост. Он свяжет данные из разных источников, проведёт OSINT по нужным IP и доменам и вынесет вердикт: реальный детект или ложное срабатывание.

Показательный пример разбора на Claude Opus. Момент 1 – ложное срабатывание: сигнатура severity-1 «исходящее к C&C», но Opus скоррелировал IPS, firewall, DPI, DNS и сессии, разобрал PTR/AS (российский телеком-хостинг, единичное обращение) и вынес вердикт «ложное срабатывание» за один проход вместо часа ручной работы. Момент 2 – реальный детект: Trojan/Win32.CeeInject, доставка через мессенджер, антивирус NGFW заблокировал частично – Opus отметил, что часть файла могла достичь хоста, и выдал HIGH-приоритет с конкретным планом.

Практика 3: AI red-team и сканирование сети

В Hermes есть готовый навык AI-пентеста веб-приложений. От обычного сканера он отличается тем, что проходит несколько фаз и проверяет гипотезы, а не выдаёт гору ложных срабатываний:

0. Нулевая фаза – подтверждение, что ресурс ваш.

1. Разведка (Live Recon).

2. Тактический разбор уязвимостей (Vuln Analysis).

3. Попытка эксплуатации (Exploitation) – по принципу «No Exploit No Report».

4. Отчёт с приоритизацией реально подтверждённых находок.

Второй сценарий – сканирование локальной сети. Агент на Mac Mini с доступом к сегментам может каждую ночь сканировать сеть и находить изменения: старые принтеры, IPMI в пользовательском сегменте, забытые панели управления, устаревшие протоколы. Смысл не в том, что он изобретает nmap, а в том, что превращает рутинное сканирование в регулярный процесс с интерпретацией. Один из прогонов: сканирование сегмента за $13 и 40 минут.

Пример HIGH-находок:

  • принтеры с SSLv3/RC4 – уязвимость POODLE (CVE-2014-3566);

  • BMC/IPMI в пользовательском сегменте;

  • NFS с открытым экспортом на любой хост;

  • SMB signing enabled but not required – открывает NTLM relay.

Ограничение прежнее: права агента ограничены, активные действия логируются, каждая находка валидируется вручную.

AI для CISO и регуляторики

AI особенно хорош там, где много текста, требований и слабоструктурированной информации.

  • Регуляторика. Можно «накормить» агента требованиями ФСТЭК или профильного ФЗ и наложить их на возможности NGFW: понять, какие пункты закрываются техническими контролями (NGFW, SIEM, DLP), а где нужен процесс. Итог – матрица покрытия и управленческая сводка. Но AI-вывод не юридическое заключение – достаточность меры подтверждает эксперт.

  • Подготовка к совещаниям. Быстро собрать CVE-контекст, оценить критичность, подготовить справку или презентацию.

  • Дайджесты. Ежедневные сводки угроз и новостей.

  • Agentic SOC. По отраслевым метрикам, агентные SOC-инструменты кратно ускоряют обнаружение и реагирование – в разы сокращая MTTD и MTTR за счёт автоматической фильтрации и триажа событий.

Риски: агент – это новая поверхность атаки

Существенный сдвиг парадигмы: если раньше ИБ защищала сервисы, людей и сеть, то теперь появляется четвёртая сущность – агент. Классический сервис детерминирован. Агент – нет: он непредсказуем и при этом имеет доступ к логам, конфигурациям, API-ключам, внутренним системам и внешним LLM. Значит, защищать его нужно так же дисциплинированно, как привилегированный сервисный аккаунт.

Ключевые риски и меры защиты:

Риск

Описание

Мера защиты

Prompt Injection

Вредонос в логах «перехватывает» агента

Sandbox + валидация входных данных

Data exfiltration

Конфиг NGFW утекает в API облачной модели

Локальный inference / on-prem модель

Privilege escalation

Агент с tool use получает лишние права

Least privilege, read-only API

Supply chain (Skills)

Вредоносный SKILL.md в репозитории

Проверка навыков перед загрузкой

Lethal Trifecta

Приватные данные + внешний контент + внешняя связь

Изолировать хотя бы одно звено

 

Про prompt injection стоит сказать отдельно – это не теория. По исследованиям 2026 года, прямые инъекции срабатывают в более чем 79% случаев против ведущих frontier-моделей, а непрямые (через внешний контент – те же логи) – в 41–68%. Отсюда концепция Lethal Trifecta: опасная комбинация из приватных данных, недоверенного контента и канала внешней коммуникации. Разорвать нужно хотя бы одно звено. Как архитектурный ответ индустрия развивает подходы вроде CaMeL, где потоки данных и управления разделяются, а инструкции из недоверенного контента не могут менять план агента.

Практический протокол защиты самих агентов: сетевая изоляция, логирование всех шагов, регулярный red teaming, обновления, ограничение прав, запрет опасных действий без подтверждения (human-in-the-loop), контроль секретов и явная политика передачи данных во внешние LLM. И заранее описанные границы: какие документы можно отправлять в модель, какие обезличивать, какие остаются только локально.

При этом без паранойи. IP- и MAC-адреса или отдельная фамилия без связки с другим идентификатором – это не те персональные данные, из-за которых стоит связывать себе руки. Задача ИБ – не парализовать работу, а выстроить разумную политику. Обезличивание критичной информации перед запросом во внешнюю LLM реализуется отдельным навыком и это несложно.

AI на стороне атакующих: стоять на месте нельзя

Блок, который возвращает нас к метафоре матча. Злоумышленники используют AI массово – для разведки, поиска уязвимостей, горизонтального движения и генерации вариантов атак. И это во много раз эффективнее скриптовых атак: LLM гибче, дешевле и не требует долгой подготовки.

Цифры, которые стоит держать в голове:

Метрика

2024

2026

Время breakout (eCrime)

~62 мин

29 мин

Рост AI-атак год к году

+89%

Уязвимые MCP

40%

Рост рискованных AI-промптов

+97%

AI red-team инструментов (OSS)

<5

70+

 

По данным CrowdStrike 2026, Check Point 2026 и др.

Показательные примеры автономных наступательных агентов:

  • xBOW – автономный пентест-агент, который вышел в топ HackerOne и суммарно нашёл тысячи уязвимостей и множество zero-day.

  • NodeZero решил лабораторию GOAD (Game of Active Directory) за 14 минут – на порядки быстрее человека.

Отдельно про генерацию эксплойтов. По вторничным патчам Microsoft (Patch Tuesday) видно: код закрытый, но по описанию CVE злоумышленники собирают эксплойт за неделю-две. В open source бывает ещё быстрее – и это касается почти всех, ведь современное ПО невозможно без OpenSource-фреймворков. Пример свежей серьёзной уязвимости в базовой инфраструктуре – CVE-2024-6409 в OpenSSH (race condition, потенциальный RCE от root).

Вывод неприятный, но практичный: если защитники чрезмерно ограничат себе AI, атакующие эффективнее не станут. Ограничивать нужно не факт использования AI, а данные, права, сетевой доступ и действия агента. Агент атакующего не соблюдает ваши корпоративные политики – значит, защитнику нужны сопоставимые средства скорости.

Как меняется профессия безопасника

Безопасник не исчезнет – меняется набор навыков. Дефицит кадров в ИБ в России к 2027 году оценивается в 54–65 тыс. специалистов (23–25% потребности), и на рынке будут укрупняться те, кто умеет управлять флотом агентов.

Меняются роли:

  • аналитик логов → оркестратор агентов;

  • junior → менеджер флота агентов (1:N);

  • пентестер → постановщик задач AI-пентесту + ревью;

  • SOC L1 → ревью уже отфильтрованных агентом событий;

  • CISO → стратег, встраивающий AI в процессы.

Новая карта навыков: контекст-инжиниринг, harness-проектирование, AI Threat Modeling, Prompt Injection Defense, Model Evaluation (выбор и оценка LLM под задачу), AI Forensics. Похоже, специалистам придётся переучиваться каждые 3–4 года, а на первый план вместо чистых hard skills выходят soft skills – обучаемость и умение быстро осваивать новое.

Есть и рабочее правило распределения ответственности – 0–80–100: до 80% работы забирает AI, оставшиеся 20% и всю контрольную ответственность (особенно с учётом регуляторики и чувствительных данных) берёт человек.

Итог: счёт 1:0 в пользу AI-аналитики

Ручной анализ – это не про замену эксперта. AI-агент не заменяет NGFW, SIEM, IPS или специалиста. Это слой, который связывает данные, инструменты и повторяемые процессы. Самая сильная практическая линия: аудит конфигураций, анализ журналов, расследование хостов, поиск сетевых аномалий и подготовка понятных отчётов.

Мы уже отдаём клиентам два сервиса в рамках техподдержки – AI-анализ журналов IPS и DNS Security и AI-аудит правил межсетевого экрана. Оба работают строго в режиме read-only (только GET-запросы). А в документации выложены сами навыки Hermes – их можно скачать, доработать и адаптировать под другое СЗИ.

Главный риск – внедрить агента как бесконтрольную сущность с доступом к чувствительным данным. Поэтому начинать стоит с узкой задачи, понятных прав, логирования, ручного ревью и явной политики передачи данных. В такой модели AI становится не угрозой управляемости, а способом вернуть безопаснику время на решения, которые действительно требуют человека.

Начните с малого: возьмите чат, попросите помочь развернуть агента на изолированной машине, подключите read-only доступ к одному источнику – и дайте ему одну узкую задачу. Первый шаг самый сложный. Дальше агент помогает настраивать следующего.

ссылка на оригинал статьи https://habr.com/ru/articles/1056786/