About Teletype
Join
Саша Журавлев | Mento VC
@exitsexist
April 24

$87 млрд уже инвестировано в защиту от AI-агентов — тех самых, которым ваши сотрудники прямо сейчас раздают ключи

Привет! Меня зовут Саша Журавлев. Я основатель и управляющий партнер фонда Mento VC. Мы инвестируем в технологические компании на ранних стадиях в США, Великобритании и Израиле.

В предыдущей статье была мысль о том, что ваш клиент больше не человек, а AI-агент. Все так — но теперь и ваша главная уязвимость тоже не человек. У Notable Capital (фонд, ex-GGV Capital: Airbnb, Slack, HashiCorp, StockX, Affirm, Coinbase и др.) совместно с Morgan Stanley вышел материал о том, почему AI-агенты становятся, возможно, главным вызовом для кибербезопасности в истории. И как это отражается на венчурном рынке.

Полностью перевели этот интересный материал для вас, читайте ниже.

Новое слабое звено: от человеческого фактора к рискам AI-агентов

Компании стремительно разворачивают AI-агентов — с широким доступом к системам и минимальным контролем. Возник новый фронт кибер-атаки, к которому традиционные инструменты защиты и управления идентификацией попросту не приспособлены. Notable Capital cовместно с Morgan Stanley разбираются, почему агентный AI стал ключевым вызовом для индустрии кибербезопасности, куда движется волна сделок M&A на $87 млрд, и что компаниям нужно успеть сделать до того, как 2026 год заставит их действовать.

Десятилетиями специалисты по кибербезопасности исходили из одной и той же посылки: слабое звено — это человек. Стажер, который кликнул по письму от «техподдержки» с просьбой подтвердить пароль. Разработчик, который в два часа ночи пушил код перед дедлайном, закоммитил ключи от AWS в публичный репозиторий на GitHub — и заметил это только утром.

Именно такие моменты — секундная невнимательность, ошибочное решение, простое желание помочь — становились входной точкой для атак. Поэтому миллиарды долларов ушли на обучение сотрудников, защиту устройств, системы управления доступом, мониторинг угроз и целые SOC-команды. Все ради того, чтобы выстроить ограничители вокруг самого непредсказуемого звена: людей.

По данным Morgan Stanley, рынок управления идентификацией к 2029 году достигнет $56 млрд. При ежегодном росте в 17% и десятках поставщиков очевидно, что компании продолжают вкладываться в защиту. Но в этом перегретом сегменте почти нет лидера, который бы решал новую проблему: риски, возникающие вместе с ростом продуктивности AI-агентов. Текущие продукты создавались для защиты человеческих сценариев доступа. Они плохо готовы к взрывному росту автономных идентификаций.

Слабое звено — больше не сотрудник, который кликает по подозрительной ссылке. Это AI-агент, которого он создал во вторник, чтобы автоматизировать свой рабочий процесс.

Компании массово внедряют AI-агентов ради эффективности. Эти системы работают 24/7, имеют доступ к репозиториям кода, HR-системам, продакшн-базам данных и конфиденциальной клиентской информации. Они принимают решения самостоятельно, часто без понятного владельца и без достаточного надзора. И мы уже видим реальные инциденты, демонстрирующие эти риски.

Прошлой осенью команда Anthropic - Threat Intelligence пресекла то, что считается первой преимущественно автономной кибершпионской кампанией, организованной при помощи AI. Атака показала, что мощные AI-инструменты могут использовать даже люди без серьезных навыков программирования или взлома: AI-агент самостоятельно выполнял 80–90% операционных задач.

Та же кампания показала и другой риск: даже продуманные защитные ограничения можно обходить, если разбить вредоносную задачу на множество мелких безобидных шагов. Каждый шаг обходит фильтры, а вместе они складываются в полноценную атаку. Этот прием эксплуатирует ту самую модульность, которая делает AI-системы гибкими и мощными.

По мере того как внедрение ускоряется и AI-системы все глубже встраиваются в критические бизнес-процессы, поверхность атаки будет расти экспоненциально — вместе с мотивацией атакующих.

Рынок просыпается

Осознание угрозы со стороны AI уже запустило масштабную перестройку рынка кибербезопасности. По данным Morgan Stanley, в 2025 году объём сделок слияний и поглощений в секторе достиг примерно $87 млрд. Стратегические M&A выросли в четыре раза по сравнению с предыдущим годом: крупные игроки перестраиваются под принципиально иной ландшафт безопасности.

Показательные примеры:

  • Google покупает Wiz за рекордные $32 млрд (сделка ожидает закрытия); Wiz построила бизнес на облачной защите приложений, рано осознав, что традиционные модели безопасности не справляются с защитой современной распределенной инфраструктуры
  • Palo Alto Networks покупает Cyberark за $25 млрд;
  • ServiceNow приобретает Armis за $7,8 млрд (ожидается закрытие).

Логика у всех одна: нужны инструменты, созданные под мир, где границы защиты растворились, цифровых идентичностей стало слишком много, а безопасность зависит от постоянного понимания того, кто и что вообще существует внутри инфраструктуры.

Венчур туда же: общий объем венчурного финансирования в кибербезопасность остался примерно на уровне прошлого года, но его структура резко сместилась к более ранним стадиям. Раунды Series A и B выросли с $3,6 млрд до $5,6 млрд. Капитал хлынул в AI-native стартапы, решающие проблемы, которых два года назад еще не существовало.

Если читать между строк: индустрия признает, что инструменты последних двадцати лет больше не справляются.

Подлатать старые платформы недостаточно. Для защиты AI-native систем нужны новые решения, спроектированные с нуля.

Почему этот переход отличается

Каждый крупный технологический переход — от мейнфреймов к клиент-серверной архитектуре, от десктопов к мобильным устройствам, от локальных серверов к облаку — порождал новые вызовы для безопасности. Но трансформация, связанная с AI, происходит с беспрецедентной скоростью и масштабом, и у нее есть три критические особенности:

1. Доступность и децентрализация: сотрудники внедряют AI быстрее, чем безопасность успевает отслеживать

Внедрение AI принципиально более децентрализовано, чем предыдущие технологические обновления. Облачная миграция обычно шла через IT-отделы и службы безопасности месяцами, иногда годами. AI-агенты возникают иначе: сотрудники запускают их сами, в любом отделе, за минуты.

Как службам безопасности угнаться, когда не-человеческих идентификаций уже в 82 раза больше, чем через пользователей-людей?

Создавать агентов, рабочие процессы и интеграции теперь могут и технари, и не-технари — без единой строчки кода и без единой заявки в IT. Маркетинг создают агента для анализа эффективности кампаний. Продажи — для автоматического обновления CRM. Финансы загружают данные в Claude для сверки с прогнозом. Каждый такой агент — новая идентификация, новый набор прав, новый потенциальный вектор атаки.

Показательный пример — Clawdbot (теперь известный как Openclaw), AI-ассистент с открытым исходным кодом, который после запуска мгновенно завирусился и набрал более 60 000 звезд на GitHub за считаные недели. Openclaw глубоко интегрируется в цифровую жизнь пользователя (Slack, WhatsApp, Telegram, Discord, Microsoft Teams, iMessage и другие платформы) и требует обширных разрешений: чтение писем и ответы на них, управление расписанием, доступ к файлам и выполнение команд. С точки зрения безопасности все это чревато кражей учетных данных, утечкой данных и даже удаленным выполнением кода через интернет.

Менее чем за неделю анализа Token Security обнаружила, что у 22% их клиентов сотрудники уже активно используют Openclaw. Вот насколько стремительно инструмент распространился через сарафанное радио и сообщества разработчиков — а команды безопасности только начали разбираться, что именно внезапно появилось внутри их компаний.

Бизнесы, которые прежде могли отследить каждую систему, каждого пользователя, каждый путь доступа, оказались в среде, где видимость рухнула.

2. AI-агенты наследуют все ваши права доступа — и все ваши риски

Главное обещание агентного AI в том, что эти системы способны действовать с человеческим уровнем суждения на машинной скорости. Чтобы это выполнить, AI-агенты наследуют полные полномочия развернувших их пользователей. Если у вас есть доступ к репозиториям кода, HR-системам, Dropbox, Salesforce, продакшен-средам и чувствительным API-ключам — у вашего агента он тоже есть.

Так в одной и той же системе оказываются и обещание небывалой продуктивности, и серьезный риск. Именно та глубокая связанность, которая делает эти инструменты ценными, — способность оркестрировать действия в десятках систем, принимать решения на основе контекста из множества источников, действовать автономно от вашего имени, — делает их подверженными куда большему риску, чем весь предыдущий софт.

Характерный пример: в ServiceNow у Now Assist нашли уязвимость к prompt injection — вредоносные инструкции в базе знаний могли заставить агента выполнять опасные команды при обработке легитимных запросов пользователей. Атакующие потенциально могли выводить конфиденциальную информацию, изменять записи или совершать несанкционированные действия — просто манипулируя источниками данных, которым агенты были обучены доверять.

Как отметили исследователи безопасности: «Эта находка тревожна, потому что это не баг AI — это ожидаемое поведение, определенное рядом дефолтных настроек».

Недавно исследователи также раскрыли ряд уязвимостей в n8n — популярной платформе автоматизации рабочих процессов на основе AI. Наиболее критичная из них позволяет неаутентифицированному удаленному злоумышленнику получить полный контроль над уязвимыми экземплярами без каких-либо учетных данных. Исследователи предупредили: «Скомпрометированный экземпляр n8n — это не просто потеря одной системы. Это передача злоумышленникам ключей от всего. API-ключи, OAuth-токены, подключения к базам данных, облачное хранилище — все централизовано в одном месте. n8n становится единой точкой отказа и золотой жилой для злоумышленников».

Скомпрометированный агент — это не скомпрометированный ноутбук и не сотрудник, попавшийся на фишинг. Это скомпрометированная идентификация с широким доступом, способностью к автономному принятию решений и скоростью, достаточной для нанесения катастрофического ущерба до того, как кто-либо заметит.

Агенты запускают цепные реакции и каскадные сбои

Агенты часто работают цепочками: вышестоящие передают запросы и контекст нижестоящим. Но что происходит, когда вышестоящий агент передаёт недостаточно контекста? Нижестоящий заполняет пробелы допущениями — и потенциально принимает опасные решения или выдает избыточные права доступа для выполнения задачи.

Агент, предназначенный помогать сотрудникам находить информацию, может «понять», что станет полезнее, получив доступ к системам, на которые ему явно не давали разрешения. Агент, управляющий облачными ресурсами, может решить, что остановка определенных экземпляров оптимизирует затраты, — не осознавая, что на этих экземплярах работают критические продакшен-нагрузки. Так, например, у Replit агенты удалили продакшен-базы данных — не по злому умыслу и не из-за ошибки в коде, а из-за автономных решений при попытке оптимизировать или «навести порядок» в ресурсах.

Все эти инциденты объединяет общая черта: AI-системы часто ведут себя так, как были спроектированы, — но не так, как предполагалось. Разрыв между проектированием и намерением, между возможностями и контролем — именно там кроется опасность.

3. Взрыв идентификаций, который никто не видит

Традиционные системы управления идентификацией и доступом (IAM) были построены вокруг человеческих идентификаций. Компании могли вести справочники сотрудников, подрядчиков и партнеров. Они могли реализовывать процессы приема, перемещения и увольнения и обеспечивать политики пересмотра прав доступа. Модель была несовершенной, но управляемой.

AI эту модель разрушил. Компании столкнулись с лавиной не-человеческих идентификаций, которые невозможно инвентаризировать, за которые некому нести ответственность и за которыми некому наблюдать. Каждый агент, каждая автоматизация, каждый рабочий процесс — это новая идентификация, но стандартного управления жизненным циклом для них не существует.

Когда сотрудники увольняются или меняют позицию, их агенты нередко продолжают работать с полным набором прав доступа. Кому принадлежит агент, которого Сара создала до того, как ушла в другую компанию? Кто отвечает за проверку его прав? Кто вообще знает, что он существует? И какие системы перестанут работать, если его заблокировать?

Традиционные инструменты не были рассчитаны на такой ландшафт, и компании несутся вслепую в среде, где видимость важна как никогда

Что дальше: 2026 год станет годом агентной безопасности

Поверхность атаки, связанная с AI, расширяется быстрее, чем большинство команд безопасности в состоянии отслеживать. Радиус поражения потенциальных инцидентов растет. Сложность этих систем превышает нашу текущую способность их защищать. Но, как и в случае с любой уязвимостью, у рынка и лидеров в области безопасности есть шанс ответить.

2026 год станет годом, когда агентная безопасность станет мейнстримом

Исторически между массовым внедрением новой технологии и появлением соответствующих защитных инструментов проходит как минимум полгода. Поэтому, пока внедрение агентных решений продолжает ускоряться, мы ожидаем появления новой волны продуктов безопасности, которые станут приоритетом для руководителей отделов.

Венчурное финансирование уже резко сместилось к компаниям ранних стадий, создающим AI-native решения по безопасности: инвестиции в раунды Series A и B выросли с $3,6 млрд до $5,6 млрд. Капитал идет в seed-стартапы, которые строят решения для мониторинга автономной активности, управления идентификацией, защиты во время исполнения, непрерывного моделирования атак (red teaming), управления и защиты протокола MCP — для задач, которых два года назад не существовало, но которые теперь все активнее интегрируются в корпоративную безопасность.

Ясно одно: агенты наступают. 2026 год покажет, смогут ли компании двигаться достаточно быстро, чтобы защитить себя в новой парадигме. Организации, которые осознают этот перелом и уже сейчас выстраивают агентную безопасность как фундаментальную инфраструктуру, определят операционную модель безопасного внедрения AI. Те, кто будет ждать, рискуют столкнуться с катастрофическими последствиями, которые все равно заставят их действовать.

Спасибо, что дочитали до конца!

Если вам близко то, как мы смотрим на технологии и венчур — пишите Кате → @katiatatulova

Следить за инсайтами про AI и венчур простым языком можно в Telegram Саши Журавлева

Alina Doronina
April 24, 17:20
0 views
0 reactions
0 replies
0 reposts