Серия недавних взломов и утечек подчеркивает критическую важность создания изолированных сред (песочниц) для автономных AI-агентов, работающих с кодом и системами.
2 мин
Последние события в индустрии разработки ясно показывают новую уязвимую точку: безопасность инфраструктуры при работе с искусственным интеллектом. Произошла целая серия инцидентов: платформа Railway случайно открыла доступ к данным без авторизации, Mercor AI подвергся взлому, а исходный код инструмента Claude Code оказался в открытом доступе. Самым показательным стал взлом популярного пакета Axios через менеджер npm. Все это подчеркивает критическую важность изоляции доступа для AI-агентов, которым мы доверяем написание и выполнение кода.
Программное обеспечение редко пишется с нуля — оно опирается на огромную цепочку поставок сторонних библиотек. Разработчики используют менеджеры пакетов для установки зависимостей. Сегодня автономные AI-агенты делают это за нас, часто выполняя команды установки в фоновом режиме. Если злоумышленники компрометируют популярную библиотеку, агент может незаметно загрузить вредоносный код прямо на рабочий компьютер разработчика.
Инцидент с Axios показателен: библиотека с более чем 100 миллионами установок в неделю была скомпрометирована из-за перехвата GitHub-аккаунта одного из главных разработчиков. Вредоносные версии уже удалены, но ситуация выявила системный риск.
Изображение из источника
Параллельно AI-инструменты получают все больше прав. Claude Code теперь может взаимодействовать с компьютером через пользовательский интерфейс (в режиме предварительного просмотра), чтобы тестировать приложения или выполнять задачи. Сервис Projects.dev от Stripe позволяет агентам использовать сторонние сервисы из командной строки: создавать аккаунты, получать ключи API (интерфейс программирования приложений) и настраивать биллинг.
Кроме того, Google представила новую модель Gemini 3.1 Flash Live, которая лучше справляется со сложными голосовыми инструкциями, а доход ChatGPT от недавно внедренной рекламы уже достиг 100 миллионов долларов в годовом исчислении.
Индустрия стремится создать автоматизированные «фабрики программного обеспечения», но пока не решила фундаментальную проблему безопасности. Растущая автономность агентов означает, что они могут стать векторами для классических атак на цепочки поставок программного обеспечения.
Именно поэтому концепция «песочниц» (изолированных сред) становится стандартом. Инструменты вроде Claude Cowork и Codex уже запускают команды в виртуальных контейнерах — копиях рабочих папок, полностью отрезанных от основной операционной системы. Если агент случайно установит вредоносный пакет, он не сможет нанести ущерб реальным данным пользователя.
В ближайшем будущем мы увидим всплеск интереса к инструментам безопасности и инфраструктуре для разработчиков, специализирующимся на изолированных средах. Практика аренды удаленных виртуальных машин (например, через сервисы вроде Hyperbox) исключительно для работы AI-агентов станет нормой. Разработчикам придется пересмотреть свои протоколы безопасности, рассматривая каждого AI-помощника не просто как умный редактор текста, а как потенциального инсайдера с доступом к критической инфраструктуре.
Расширение автономности AI-агентов требует обязательного использования изолированных сред из-за растущего числа атак на цепочки поставок кода.
Главная угроза безопасности исходит не от самих AI-моделей, а от традиционных цепочек поставок ПО, к которым агенты получают неконтролируемый доступ.
