Атаки на ИИ-агентов: старые уязвимости в новом контексте

Secure by design. Безопасность, DevSecOps

Безопасность программного кода, SQL и прочие инъекции

Рекомендации / ML

Атаки

Безопасность

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

DevSecOps-специалисты, AppSec-инженеры, разработчики ИИ-агентов, разработчики, которые используют ИИ в SDLC

Тезисы

За несколько часов можно скомпрометировать тысячи разработчиков и с помощью их AI-инструментов украсть секреты с их рабочих станций. Всё из-за того, что агентные ИИ-системы пишут код, запускают пайплайны, триажат инциденты, ищут уязвимости. То есть они имеют доступ ко всем системам, и открывают его для злодеев.

В докладе я покажу результаты технического анализа их защищённости и разберу поверхность атаки: от тривиальных prompt-инъекций в нетривиальных контекстах до сложных, но критичных атак через межагентное доверие и общие инструменты. Мы посмотрим, как архитектурные компоненты MCP и RAG открывают дополнительные векторы влияния на поведение агента, определим ландшафт угроз и оценим, сколько уязвимых компонентов уже доступно в открытом доступе.

В результате, мы получим методику и набор инструментов, которые помогут архитектору безопасности и разработчику агентных ИИ-систем сделать их устойчивыми к атакам.

Денис Макрушин

Яндекс

Директор по продуктам безопасной разработки в Яндекс. Ранее в роли технического директора в компании «МТС» отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности. До этого на позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
Выпускник факультета информационной безопасности НИЯУ МИФИ. Регулярно делится исследованиями в авторском канале.