VentureBeat: 54% компаний уже столкнулись с инцидентами безопасности ИИ-агентов

VentureBeat: 54% компаний уже столкнулись с инцидентами безопасности ИИ-агентов

Издание VentureBeat в рамках серии Pulse Research опросило 107 компаний с числом сотрудников больше 100 (опрос, одна волна, июнь 2026 года) о том, как они защищают своих ИИ-агентов: какие инструменты используют, как управляют идентичностью и изоляцией агентов, что уже пошло не так, сколько на это тратят и считают ли, что их защита успевает за атакующими, использующими ИИ. Главный вывод исследования: агентам дают реальный доступ к системам и данным быстрее, чем выстраивают контроль над ними, VentureBeat называет это «разрывом в безопасности агентов».

Более половины компаний (54%) уже столкнулись с событием безопасности, связанным с ИИ-агентом: у 18% это был подтверждённый инцидент, у 36%, предотвращённый инцидент, замеченный до того, как он причинил вред. Только 42% не сообщили ни о чём подобном. При этом чем крупнее компания, тем хуже баланс: доля инцидентов и предотвращённых инцидентов растёт с 49% у компаний среднего размера (101, 1000 сотрудников) до 63% у более крупных (свыше 1000 сотрудников), а доля тех, кто изолирует самых рискованных агентов в песочницах, наоборот, падает с 35% до 20%; удовлетворённость средствами защиты снижается с 4,36 до 3,97 из 5.

Структурная причина, проблема идентичности агентов. Только около трети компаний (32%) выдают каждому агенту собственную управляемую учётную запись с ограниченными правами. Ещё 48% сообщают, что у части агентов есть отдельные учётные записи, но многие всё равно используют общие доступы, а 32% признают, что агенты в основном работают на общих API-ключах или заимствованных человеческих либо сервисных учётных данных (ответы можно было выбирать несколько, поэтому доли пересекаются). В сумме у 69% компаний (74 из 107) где-то во флоте агентов используются общие учётные данные. Это напрямую связано с инцидентами: среди компаний, где общие доступы используются хоть где-то, инцидент или предотвращённый инцидент за последний год случился у 63,5% (47 из 74), а среди компаний, где у каждого агента своя выделенная идентичность, у 40,9% (9 из 22). Разница в 23 процентных пункта при небольшом размере полностью «изолированной» группы, это пока связь, а не доказанная причинность.

Среди практик защиты компании чаще наблюдают за действиями агентов (47%) и применяют ограничения прав в реальном времени (49%), но лишь 30% изолируют самых рискованных агентов в песочницах, то есть используют именно тот контроль, который ограничивает ущерб, если остальные меры не сработали. По порядку внедрения это обратная логика эшелонированной защиты: наблюдение и ограничения есть, а сдерживания последствий, почти нет.

При этом стек защиты в основном заимствован у поставщиков моделей и облаков, а не куплен у специализированных вендоров. Лидируют встроенные защитные механизмы (guardrails) OpenAI, их используют 51% компаний, за ними следуют облачные средства защиты Google и Microsoft и встроенные механизмы защиты управляемых агентов Anthropic; 82% опрошенных называют одно из этих встроенных решений своим основным уровнем защиты. Специализированные вендоры по безопасности агентов, Prisma AIRS от Palo Alto, CrowdStrike, Cisco AI Defense, Zenity, HiddenLayer, Lakera от Check Point, Okta for AI Agents, используются считаными процентами компаний, и лишь 5% вообще не применяют выделенных инструментов защиты. Та же картина повторилась и в предыдущей волне опроса (апрель, май, n=110): тогда лидировали те же встроенные средства (OpenAI, 26%, Azure, 15%, AWS, 14%, Google, 12%), а все специализированные вендоры набрали не больше 3%.

При этом сами компании довольны текущей защитой: средняя удовлетворённость, 4,2 из 5, а оценка соотношения цены и ценности, 4,1 из 5 (оценки собраны у 82 из 107 участников опроса). Это одна из самых высоких оценок во всей серии VentureBeat Pulse Research, при том что больше половины компаний уже сталкивались с инцидентами, а лишь треть выдаёт агентам отдельные учётные записи. При этом заметное большинство опрошенных планируют сменить инструменты защиты в течение года, то есть удовлетворённость нынешним стеком сочетается с готовностью его заменить.

Ключевые факты

  • 54% из 107 опрошенных компаний уже столкнулись с инцидентом безопасности ИИ-агента (18%) или предотвращённым инцидентом (36%)
  • Только 32% компаний выдают каждому агенту собственную управляемую учётную запись; в сумме у 69% где-то во флоте агентов используются общие учётные данные
  • Общие учётные данные коррелируют с инцидентами: 63,5% инцидентов у компаний с общими доступами против 40,9% у компаний с полностью раздельной идентичностью агентов
  • Наблюдение (47%) и ограничение прав в реальном времени (49%) применяются чаще, чем изоляция в песочницах (30%), притом что именно изоляция ограничивает ущерб от сбоя
  • Защита в основном строится на встроенных средствах OpenAI (51%), Google, Microsoft и Anthropic, а не на специализированных вендорах безопасности агентов, которые пока набирают единицы процентов

Почему это важно

Опрос VentureBeat фиксирует не гипотетический риск, а уже произошедшее: больше половины компаний, дающих ИИ-агентам реальный доступ к системам и данным, уже сталкивались с инцидентом безопасности или предотвращённым инцидентом. При этом контроль над агентами, идентичность, изоляция, ограничение прав, системно отстаёт от того, насколько широкий доступ им дают. Это первое масштабное исследование, которое количественно показывает разрыв между автономией агентов и мерами по её сдерживанию.

Кому это важно

В первую очередь, руководителям по безопасности и ИТ в компаниях, которые уже развернули или разворачивают ИИ-агентов в промышленной эксплуатации, особенно в крупных организациях (свыше 1000 сотрудников), где инцидентов больше, а изоляция агентов используется реже. Важно и тем, кто выбирает между встроенными средствами защиты от поставщиков моделей/облаков и специализированными вендорами безопасности агентов, опрос показывает, что рынок специализированных решений пока не сформировался.

Как это применить

Из данных опроса следуют конкретные шаги: выдавать каждому агенту собственную ограниченную учётную запись вместо общих API-ключей и заимствованных человеческих доступов; изолировать самых рискованных агентов в песочницах, а не ограничиваться только наблюдением и ограничением прав в реальном времени; не полагаться исключительно на встроенные защитные механизмы поставщика модели или облака, поскольку большинство компаний планируют сменить инструменты защиты в течение ближайшего года.

Можно ли доверять

Выборка (n=107, порог, компании свыше 100 сотрудников) собрана одной волной в июне 2026 года, является самоотобранной, а не вероятностной, и смещена в сторону среднего бизнеса, сам VentureBeat честно оговаривает эти ограничения и просит читать доли по отдельным вендорам как ориентировочные. Оценки удовлетворённости получены только от 82 из 107 участников. Связь между общими учётными данными и инцидентами, статистическая ассоциация, а не доказанная причинность (VentureBeat это тоже прямо указывает). При этом структурная картина, доминирование встроенных средств поставщиков над специализированными вендорами, повторилась в двух волнах опроса подряд, что повышает доверие именно к этому выводу.

Риски и подводные камни

Главный парадокс исследования: удовлетворённость защитой (4,2 из 5) остаётся высокой, несмотря на то что больше половины компаний уже пережили инцидент, а идентичность агентов и изоляция внедрены лишь у меньшинства, то есть компании довольны стеком защиты, который сами же готовятся менять. У крупных компаний ситуация хуже вдвойне: у них выше доля инцидентов, но ниже доля изоляции рискованных агентов. Общие учётные данные создают широкий «радиус поражения» при компрометации одного агента и затрудняют последующее расследование, невозможно чисто установить, какой именно агент что сделал.