Разбираем на реальных кейсах, что AI-агент уже умеет делать в сетевой безопасности – аудит правил межсетевого экрана, разбор логов IPS и DNS, ред-тиминг – где он экономит часы работы, а где остаётся источником риска. И почему ограничивать нужно не сам AI, а данные, права и действия агента.
Матч, который уже идёт
Пока мир смотрит чемпионат мира по футболу, в кибербезопасности идёт свой чемпионат – AI против AI. С одной стороны поля агенты атакующих: они ускоряют разведку, генерируют эксплойты, двигаются внутри сети. С другой – агенты защитников, которые читают конфигурации, разбирают журналы и помогают специалисту принимать решения быстрее.
Мы в Ideco последние месяцы гоняли AI-агентов на реальных задачах службы ИБ и собрали результаты первых двух десятков аудитов. Сразу зафиксируем главный тезис, чтобы снять лишние ожидания: мы не продаём магическую автоматизацию «без человека». Ценность появляется ровно там, где специалист задаёт агенту контекст, правила, доступы и критерии проверки. Агент ускоряет работу, но безопасность обеспечивают правильно настроенные средства защиты, процесс контроля и экспертная валидация.
Эта статья – практический разбор. Мы показываем конкретные кейсы на Ideco NGFW Novum, но всё описанное переносится на любое средство защиты с нормальным машинным интерфейсом. Речь не про конкретный продукт, а про новый слой автоматизации, который меняет работу безопасника.
От чат-бота 2022 года до автономного агента 2026-го
Чтобы понять, почему агенты «выстрелили» именно сейчас, полезно вспомнить короткую хронологию.
В 2022 году появились первые массовые языковые чат-боты. Они сильно галлюцинировали: у одного из нас был показательный кейс, когда модель на просьбу порекомендовать 30 книг, нейронка выдумала 20 несуществующих. Вывод тогда напрашивался простой – игрушка, не более.
В 2023–2024 годах заработал prompt engineering, а вместе с ним пришёл RAG (Retrieval-Augmented Generation) – подход, при котором ответ модели дополняется релевантными данными из внешнего источника. AI начал понимать не только вопрос, но и контекст.
В 2025 году появились контекстное окно, управление токенами сессии, навыки (skills) и проекты. AI уже мог выполнять часть работы, но всё ещё нуждался в человеке, который задаст контекст и подскажет, что и как делать.
И только в 2026-м, буквально с февраля, взлетели агенты. Ключевое отличие – harness: обвязка вокруг модели, которая получает задачу, сама подбирает нужные инструменты из доступных и выполняет последовательность действий. Это и есть переход от «ответь на вопрос» к «выполни задачу».
Чат-бот, ассистент, агент – в чём разница
Граница проходит по способности действовать. Чат-бот отвечает в рамках переписки. Ассистент может при определённых условиях исполнять код или дёргать API. Агент делает то, чего не умели предыдущие поколения:
-
сам планирует последовательность шагов;
-
выбирает навыки под задачу;
-
работает в «петле с памятью» – возвращается к результатам предыдущих шагов, переосмысливает их и корректирует план.
Именно петля с памятью превращает языковую модель в работника, а не в собеседника.
Анатомия агента: голова, глаза, руки, память, ноги
Устройство любого AI-агента удобно разложить на пять частей.
|
Часть |
Что это |
Технически |
|
Голова |
LLM, которая рассуждает и планирует |
Claude, GPT, Qwen и др. – ядро можно заменить, логика агента не изменится |
|
Глаза |
Контекстное окно – то, что агент «видит» |
Логи, конфиги, документация, правила, результаты предыдущих шагов |
|
Руки |
Tool use – вызов инструментов |
REST API, bash, обращение к журналам |
|
Память |
Долговременное хранилище знаний |
SKILL.md, векторная база (RAG) |
|
Ноги |
Harness – обвязка исполнения |
Цель → петля «действие → оценка → шаг» |
Отсюда – первый практический вывод. Разница между агентами чаще не в «магии модели», а в том, какие инструменты и навыки к ней подключены. Один и тот же LLM-движок бесполезен без доступа к данным и очень полезен, когда видит журналы, умеет ходить в API и знает, как оформить результат для ИБ-специалиста.
Отдельное предупреждение по гигиене: не вставляйте секреты и API-ключи прямо в запрос к модели. Правильнее дать агенту контролируемый доступ к локальному файлу или секрету через окружение и явно ограничить, что он может делать. Любая вменяемая модель сама подскажет: «ключ не присылай, скажи, где он лежит, я туда обращусь». Это снижает риск утечки и упрощает аудит.
Выбор агента и модели: дешёвое ≠ дёшево
Универсальный агент или специализированный
На рынке идёт спор: победят агенты общего назначения со специализированными навыками или узкоспециализированные агенты. Мы склоняемся к первому сценарию – по аналогии со смартфоном, который вытеснил диктофон, плеер и мыльницу. Специализированные устройства эффективнее в своей нише, но универсальное решение выигрывает за счёт охвата.
Сравним четыре популярных инструмента. Два универсальных – Hermes Agent и OpenClaw – и два специализированных open source агента для пентеста.
|
Критерий |
Hermes Agent |
OpenClaw |
PentAGI |
PentestGPT |
|
ИБ-навыки из коробки |
web-pentest, red-teaming, OSINT |
через ClawHub |
20+ tools (nmap, metasploit, sqlmap) |
Web/CTF-фокус |
|
Звёзд на GitHub |
~207 тыс. |
~376 тыс. |
– |
~14 тыс. |
|
Стек |
лёгкий (SQLite + FTS5) |
средний |
тяжёлый (Postgres/ClickHouse/Grafana) |
тяжёлый |
|
Локальный / self-hosted LLM |
да (Ollama, LM Studio, vLLM) |
да |
да |
ограниченно |
|
MCP / провайдеры |
полный MCP, 30+ |
полный MCP, 20+ |
10+ |
Claude Code |
|
Найденные CVE (агент) |
1 |
много |
– |
– |
OpenClaw – абсолютный лидер по популярности, но именно из-за огромной поверхности в нём находили больше уязвимостей и вредоносных навыков. Как говорил Конфуций (в нашей вольной трактовке): кто зимой не пробовал OpenClaw – у того нет сердца, а кто весной не перешёл на Hermes – у того нет ума.
Мы выбрали Hermes как оптимум для ИБ: проще по коду, быстрее закрываются уязвимости, встроенные навыки веб-пентеста, ред-тиминга и OSINT. Это наш выбор, а не универсальная истина – если основная задача пентест, PentestGPT может оказаться удобнее.
Дешёвая модель часто обходится дороже
Самый контринтуитивный момент. Кажется логичным взять модель в пять раз дешевле и получить пятикратную экономию. На практике это не работает.
Мы публиковали на Хабре сравнение бесплатной Owl Alpha (одна из самых популярных моделей на OpenRouter, по духу близкая к дешёвым китайским моделям) и Claude Opus. Разница как между стажёром и мидл-специалистом:
-
Owl Alpha даёт базовый диагноз, но слабо фильтрует шум и не «думает на шаг вперёд»;
-
Opus проходит петлю несколько раз, коррелирует данные и выдаёт качественный результат.
Дешёвая модель делает больше итераций, чаще ошибается, задаёт лишние вопросы – и по токенам может выйти дороже сильной модели на порядок. Частично разрыв нивелирует хороший навык с чёткой инструкцией, но общий принцип остаётся: дешёвый путь не всегда дешёвый.
Отсюда рабочая схема – многоуровневый пайплайн. Первичный триаж и фильтрацию шума делаем на дешёвой Owl Alpha, а глубокое расследование инцидента, корреляцию логов и финальный разбор передаём на Claude Opus. Hermes умеет переключать модели сам или запускать субагентов (по умолчанию до 20) – каждый со своей подзадачей и своим контекстным окном. Финальное решение всегда остаётся за человеком.
Практика 1: AI-аудит правил межсетевого экрана
Первый и самый показательный кейс – анализ правил firewall. Методика простая: агент через read-only REST API читает правила FORWARD/INPUT, DNAT/SNAT, состояние логирования и fail2ban, сопоставляет с контекстом и выдаёт отчёт.
Что показали первые 18 аудитов конфигураций Ideco NGFW Novum:
-
0 критических ошибок. Наши клиенты – сильные администраторы, прямо критичных правил в этих матчах агент не нашёл.
-
551 попытка атаки на один из узлов – реальные боевые события, которые агент вытащил из журналов.
Ценность здесь не в одном драматичном «нашёл дыру», а в регулярной уборке конфигурационного долга.
Топ-6 «автоголов» в настройке
Повторяющиеся дефекты, которые агент находил чаще всего:
-
Threat-intel выключен. Списки ФинЦЕРТ и IP-blocklist (агрегируют данные ФинЦЕРТ, НКЦКИ и других источников, обновляются автоматически с наших серверов) не подключены к drop-правилам. Известные вредоносные IP не блокируются – ни на вход, ни на выход к командным центрам.
-
Логирование отключено там, где оно важно – атаки просто не попадают в журнал.
-
ANY→ANY без инспекции. Широкие разрешающие правила без IPS и контроля приложений. Если что-то разрешаете – разрешайте с инспекцией IPS и DPI, отсекая ненужные приложения (в нашем L7-фаерволе их более 450: торренты, криптомайнеры, игры и т. д.).
-
Опасные DNAT-публикации. Сырой проброс SMTP (25) в обход mail relay, публикация RDP и Zabbix-agent без ограничения по источнику и GEO IP.
-
Затенённые правила. Shadowed и dead-правила, дубли, правила без комментариев – по отрасли доходит до 37% цепочки.
-
Неработающий fail2ban. Злоумышленники подстраиваются под пороги, и постоянные баны не выдаются.
Самые яркие голы реальных атак
Из журналов агент вытащил конкретные боевые кейсы:
-
Сервер под постоянной нагрузкой на подбор паролей: 551 попытка с 21 IP-адреса, при этом fail2ban не выдавал постоянных банов. Агент сразу отдаёт готовые к копированию сети и IP для блокировки.
-
Таргетированные атаки на VPN и RDP. По данным зарубежных аналитиков, RDP фигурирует примерно в 90% инцидентов с шифровальщиками – за ним обычно скрывается терминальный сервер.
-
Соединения с сетями и командными центрами злоумышленников – так мы помогали клиентам находить уже заражённые хосты внутри периметра.
Итоговый счёт по аудитам: 0 CRITICAL, 12 HIGH, 8 MEDIUM, 5 LOW. Важный нюанс: агент подсвечивает ошибку и рекомендует блокировку, но защищает не он сам, а правильно настроенное средство защиты. Агент – аналитик и ускоритель, а не замена сетевой политики.
Практика 2: AI-анализ логов IPS и DNS Security
Второй круг – разбор журналов системы предотвращения вторжений и DNS Security. Здесь главная боль очевидна: объём. На одном узле обрабатывается почти 1,8 млн записей журналов безопасности, а за сутки в IPS может набегать до 1,3 млн событий. Руками это не разобрать, даже если смотреть только критичные.
Агенту на анализ такого массива нужны секунды или минуты. Результат по одному из узлов: 20 350 срабатываний свернулись в 29 приоритизированных рекомендаций. Триаж за минуты, а не за дни.
Что именно агент вытаскивает и как борется с шумом:
-
Корреляция источников. Связывает события firewall, IPS и DNS, чтобы понять, реально ли хост заражён или это ложное срабатывание.
-
Отсев шума. Убирает срабатывания от легитимных облачных сервисов и CDN, привязывает события к пользователю.
-
Репутационная проверка. Через VirusTotal API проверяет подозрительные индикаторы (на бесплатном тарифе – 4 запроса в минуту, 500 в день; агент сам соблюдает лимиты).
Показательные голы AI-команды
-
Свежий (зарегистрированный в мае) исландский домен со случайными поддоменами и активным DNS-туннелированием. Обращения шли из Wi-Fi-сегмента склада – там оказалось заражённое оборудование.
-
Заражённые АРМ в бухгалтерском сегменте с DNS-туннелированием и shellcode. Финансовый контур традиционно под прицелом, потому что там проще монетизировать доступ.
-
Shadow IT: незаявленные AnyDesk и TeamViewer, о которых служба ИБ часто не знает.
Отдельно стоит отметить ценность DNS-канала. Он позволяет заблокировать угрозу до соединения – на самом раннем этапе закрепления злоумышленника. Это закрывает слепую зону, которая образуется, если не следить за DNS-трафиком отдельно. По отраслевым данным, подавляющее большинство образцов вредоносного ПО используют DNS как ключевую функцию – игнорировать этот канал нельзя.
Расследование конкретного хоста
Когда что-то нашлось – например, сигнатура исходящего трафика к командному центру ботнета – того же агента можно попросить расследовать хост. Он свяжет данные из разных источников, проведёт OSINT по нужным IP и доменам и вынесет вердикт: реальный детект или ложное срабатывание.
Показательный пример разбора на Claude Opus. Момент 1 – ложное срабатывание: сигнатура severity-1 «исходящее к C&C», но Opus скоррелировал IPS, firewall, DPI, DNS и сессии, разобрал PTR/AS (российский телеком-хостинг, единичное обращение) и вынес вердикт «ложное срабатывание» за один проход вместо часа ручной работы. Момент 2 – реальный детект: Trojan/Win32.CeeInject, доставка через мессенджер, антивирус NGFW заблокировал частично – Opus отметил, что часть файла могла достичь хоста, и выдал HIGH-приоритет с конкретным планом.
Практика 3: AI red-team и сканирование сети
В Hermes есть готовый навык AI-пентеста веб-приложений. От обычного сканера он отличается тем, что проходит несколько фаз и проверяет гипотезы, а не выдаёт гору ложных срабатываний:
0. Нулевая фаза – подтверждение, что ресурс ваш.
1. Разведка (Live Recon).
2. Тактический разбор уязвимостей (Vuln Analysis).
3. Попытка эксплуатации (Exploitation) – по принципу «No Exploit No Report».
4. Отчёт с приоритизацией реально подтверждённых находок.
Второй сценарий – сканирование локальной сети. Агент на Mac Mini с доступом к сегментам может каждую ночь сканировать сеть и находить изменения: старые принтеры, IPMI в пользовательском сегменте, забытые панели управления, устаревшие протоколы. Смысл не в том, что он изобретает nmap, а в том, что превращает рутинное сканирование в регулярный процесс с интерпретацией. Один из прогонов: сканирование сегмента за $13 и 40 минут.
Пример HIGH-находок:
-
принтеры с SSLv3/RC4 – уязвимость POODLE (CVE-2014-3566);
-
BMC/IPMI в пользовательском сегменте;
-
NFS с открытым экспортом на любой хост;
-
SMB signing enabled but not required – открывает NTLM relay.
Ограничение прежнее: права агента ограничены, активные действия логируются, каждая находка валидируется вручную.
AI для CISO и регуляторики
AI особенно хорош там, где много текста, требований и слабоструктурированной информации.
-
Регуляторика. Можно «накормить» агента требованиями ФСТЭК или профильного ФЗ и наложить их на возможности NGFW: понять, какие пункты закрываются техническими контролями (NGFW, SIEM, DLP), а где нужен процесс. Итог – матрица покрытия и управленческая сводка. Но AI-вывод не юридическое заключение – достаточность меры подтверждает эксперт.
-
Подготовка к совещаниям. Быстро собрать CVE-контекст, оценить критичность, подготовить справку или презентацию.
-
Дайджесты. Ежедневные сводки угроз и новостей.
-
Agentic SOC. По отраслевым метрикам, агентные SOC-инструменты кратно ускоряют обнаружение и реагирование – в разы сокращая MTTD и MTTR за счёт автоматической фильтрации и триажа событий.
Риски: агент – это новая поверхность атаки
Существенный сдвиг парадигмы: если раньше ИБ защищала сервисы, людей и сеть, то теперь появляется четвёртая сущность – агент. Классический сервис детерминирован. Агент – нет: он непредсказуем и при этом имеет доступ к логам, конфигурациям, API-ключам, внутренним системам и внешним LLM. Значит, защищать его нужно так же дисциплинированно, как привилегированный сервисный аккаунт.
Ключевые риски и меры защиты:
|
Риск |
Описание |
Мера защиты |
|
Prompt Injection |
Вредонос в логах «перехватывает» агента |
Sandbox + валидация входных данных |
|
Data exfiltration |
Конфиг NGFW утекает в API облачной модели |
Локальный inference / on-prem модель |
|
Privilege escalation |
Агент с tool use получает лишние права |
Least privilege, read-only API |
|
Supply chain (Skills) |
Вредоносный SKILL.md в репозитории |
Проверка навыков перед загрузкой |
|
Lethal Trifecta |
Приватные данные + внешний контент + внешняя связь |
Изолировать хотя бы одно звено |
Про prompt injection стоит сказать отдельно – это не теория. По исследованиям 2026 года, прямые инъекции срабатывают в более чем 79% случаев против ведущих frontier-моделей, а непрямые (через внешний контент – те же логи) – в 41–68%. Отсюда концепция Lethal Trifecta: опасная комбинация из приватных данных, недоверенного контента и канала внешней коммуникации. Разорвать нужно хотя бы одно звено. Как архитектурный ответ индустрия развивает подходы вроде CaMeL, где потоки данных и управления разделяются, а инструкции из недоверенного контента не могут менять план агента.
Практический протокол защиты самих агентов: сетевая изоляция, логирование всех шагов, регулярный red teaming, обновления, ограничение прав, запрет опасных действий без подтверждения (human-in-the-loop), контроль секретов и явная политика передачи данных во внешние LLM. И заранее описанные границы: какие документы можно отправлять в модель, какие обезличивать, какие остаются только локально.
При этом без паранойи. IP- и MAC-адреса или отдельная фамилия без связки с другим идентификатором – это не те персональные данные, из-за которых стоит связывать себе руки. Задача ИБ – не парализовать работу, а выстроить разумную политику. Обезличивание критичной информации перед запросом во внешнюю LLM реализуется отдельным навыком и это несложно.
AI на стороне атакующих: стоять на месте нельзя
Блок, который возвращает нас к метафоре матча. Злоумышленники используют AI массово – для разведки, поиска уязвимостей, горизонтального движения и генерации вариантов атак. И это во много раз эффективнее скриптовых атак: LLM гибче, дешевле и не требует долгой подготовки.
Цифры, которые стоит держать в голове:
|
Метрика |
2024 |
2026 |
|
Время breakout (eCrime) |
~62 мин |
29 мин |
|
Рост AI-атак год к году |
– |
+89% |
|
Уязвимые MCP |
– |
40% |
|
Рост рискованных AI-промптов |
– |
+97% |
|
AI red-team инструментов (OSS) |
<5 |
70+ |
По данным CrowdStrike 2026, Check Point 2026 и др.
Показательные примеры автономных наступательных агентов:
-
xBOW – автономный пентест-агент, который вышел в топ HackerOne и суммарно нашёл тысячи уязвимостей и множество zero-day.
-
NodeZero решил лабораторию GOAD (Game of Active Directory) за 14 минут – на порядки быстрее человека.
Отдельно про генерацию эксплойтов. По вторничным патчам Microsoft (Patch Tuesday) видно: код закрытый, но по описанию CVE злоумышленники собирают эксплойт за неделю-две. В open source бывает ещё быстрее – и это касается почти всех, ведь современное ПО невозможно без OpenSource-фреймворков. Пример свежей серьёзной уязвимости в базовой инфраструктуре – CVE-2024-6409 в OpenSSH (race condition, потенциальный RCE от root).
Вывод неприятный, но практичный: если защитники чрезмерно ограничат себе AI, атакующие эффективнее не станут. Ограничивать нужно не факт использования AI, а данные, права, сетевой доступ и действия агента. Агент атакующего не соблюдает ваши корпоративные политики – значит, защитнику нужны сопоставимые средства скорости.
Как меняется профессия безопасника
Безопасник не исчезнет – меняется набор навыков. Дефицит кадров в ИБ в России к 2027 году оценивается в 54–65 тыс. специалистов (23–25% потребности), и на рынке будут укрупняться те, кто умеет управлять флотом агентов.
Меняются роли:
-
аналитик логов → оркестратор агентов;
-
junior → менеджер флота агентов (1:N);
-
пентестер → постановщик задач AI-пентесту + ревью;
-
SOC L1 → ревью уже отфильтрованных агентом событий;
-
CISO → стратег, встраивающий AI в процессы.
Новая карта навыков: контекст-инжиниринг, harness-проектирование, AI Threat Modeling, Prompt Injection Defense, Model Evaluation (выбор и оценка LLM под задачу), AI Forensics. Похоже, специалистам придётся переучиваться каждые 3–4 года, а на первый план вместо чистых hard skills выходят soft skills – обучаемость и умение быстро осваивать новое.
Есть и рабочее правило распределения ответственности – 0–80–100: до 80% работы забирает AI, оставшиеся 20% и всю контрольную ответственность (особенно с учётом регуляторики и чувствительных данных) берёт человек.
Итог: счёт 1:0 в пользу AI-аналитики
Ручной анализ – это не про замену эксперта. AI-агент не заменяет NGFW, SIEM, IPS или специалиста. Это слой, который связывает данные, инструменты и повторяемые процессы. Самая сильная практическая линия: аудит конфигураций, анализ журналов, расследование хостов, поиск сетевых аномалий и подготовка понятных отчётов.
Мы уже отдаём клиентам два сервиса в рамках техподдержки – AI-анализ журналов IPS и DNS Security и AI-аудит правил межсетевого экрана. Оба работают строго в режиме read-only (только GET-запросы). А в документации выложены сами навыки Hermes – их можно скачать, доработать и адаптировать под другое СЗИ.
Главный риск – внедрить агента как бесконтрольную сущность с доступом к чувствительным данным. Поэтому начинать стоит с узкой задачи, понятных прав, логирования, ручного ревью и явной политики передачи данных. В такой модели AI становится не угрозой управляемости, а способом вернуть безопаснику время на решения, которые действительно требуют человека.
Начните с малого: возьмите чат, попросите помочь развернуть агента на изолированной машине, подключите read-only доступ к одному источнику – и дайте ему одну узкую задачу. Первый шаг самый сложный. Дальше агент помогает настраивать следующего.
ссылка на оригинал статьи https://habr.com/ru/articles/1056786/