Автономные агенты в сети: безопасный доступ к веб-ресурсам

от

Автор: Денис Аветисян

В статье представлен подход к обеспечению безопасного и контролируемого взаимодействия автономных AI-агентов с веб-сайтами, позволяющий делегировать им критически важные задачи.

Пока крипто-инвесторы ловят иксы и ликвидации, мы тут скучно изучаем отчетность и ждем дивиденды. Если тебе близка эта скука, добро пожаловать.

Купить акции "голубых фишек"
Система, представленная на рисунке, обеспечивает безопасную делегацию доступа, позволяя пользователю предоставить агенту полномочия для доступа к веб-сайту, что открывает возможности для автоматизированного взаимодействия с веб-ресурсами при сохранении контроля над данными и безопасностью.
Система, представленная на рисунке, обеспечивает безопасную делегацию доступа, позволяя пользователю предоставить агенту полномочия для доступа к веб-сайту, что открывает возможности для автоматизированного взаимодействия с веб-ресурсами при сохранении контроля над данными и безопасностью.

Разработанная система обеспечивает детализированный контроль доступа и защиту сессий с использованием децентрализованной авторизации и криптографических ключей.

Несмотря на растущий потенциал автономных агентов, делегирование критически важных задач, требующих доступа к веб-ресурсам от имени пользователя, сталкивается с ограничениями в существующих механизмах контроля доступа. В данной работе, ‘Access Controlled Website Interaction for Agentic AI with Delegated Critical Tasks’, предложен подход к организации безопасного взаимодействия агентов с веб-сайтами, основанный на гранулярном контроле доступа и децентрализованной авторизации. Разработанная система использует криптографические ключи сессий для обеспечения безопасного делегирования задач и реализована в виде открытого исходного кода. Не позволит ли предложенный подход расширить возможности автономных агентов и повысить доверие к их взаимодействию с веб-средой?

Взлом Автономии: Вызовы Контроля Доступа в Эпоху Агентов

Автономные системы искусственного интеллекта, известные как агентный ИИ, демонстрируют потенциал для самостоятельного выполнения сложных задач, однако их функционирование напрямую зависит от безопасного доступа к необходимым ресурсам. В отличие от традиционных программ, требующих явного указания каждого шага, агентный ИИ способен самостоятельно определять последовательность действий для достижения поставленной цели, что подразумевает доступ к различным сервисам, базам данных и даже финансовым инструментам. Поэтому, обеспечение надёжной аутентификации, авторизации и контроля доступа является критически важным аспектом развития и широкого внедрения агентного ИИ, поскольку любое нарушение безопасности может привести к несанкционированным действиям и значительным последствиям.

Традиционные методы контроля доступа, разработанные для статических систем с четко определенными пользователями и разрешениями, оказываются неэффективными в контексте автономных агентов. В отличие от привычных сценариев, где права доступа назначаются конкретным аккаунтам, агенты требуют динамической делегации полномочий для выполнения задач, которые могут включать взаимодействие с различными ресурсами и сервисами. Они способны самостоятельно определять необходимость доступа к определенным данным или функциям, что выходит за рамки предопределенных правил. Попытки применить устаревшие модели контроля доступа к агентам приводят к избыточному предоставлению прав, что увеличивает риски безопасности, или, наоборот, к постоянным отказам в доступу, препятствующим эффективной работе. В результате возникает потребность в новых подходах, способных учитывать контекст действий агента, его репутацию и цели, а также обеспечивать гранулярный и адаптивный контроль доступа.

Широкое внедрение автономных интеллектуальных агентов, способных самостоятельно решать сложные задачи, напрямую зависит от надежной системы безопасности. Отсутствие адекватной защиты от несанкционированного доступа и злоупотреблений может серьезно замедлить или даже остановить развитие этой перспективной технологии. Потенциальные риски, связанные с компрометацией агентов или неконтролируемым доступом к ресурсам, вызывают обоснованные опасения у бизнеса и пользователей. Без гарантии безопасности, широкая публика и организации будут неохотно делегировать важные процессы и конфиденциальные данные интеллектуальным системам, что существенно ограничит их практическое применение и экономический потенциал. В конечном итоге, надежность и доверие к технологиям агентного ИИ станут ключевыми факторами, определяющими скорость и масштабы его распространения.

Существующие платформы электронной коммерции зачастую не располагают необходимой инфраструктурой для безопасной делегации полномочий по совершению транзакций автономным агентам. Традиционные системы контроля доступа, ориентированные на взаимодействие с конкретными пользователями, оказываются неэффективными в условиях, когда действия совершаются от имени программных сущностей, способных к самообучению и адаптации. Это создает значительные риски, связанные с несанкционированным доступом к финансовым ресурсам и данным пользователей. В частности, отсутствует четкий механизм для определения границ ответственности агента и оперативного отзыва прав в случае возникновения проблем. Для широкого внедрения агентного искусственного интеллекта в сфере онлайн-торговли необходимо разработать новые протоколы и инструменты, обеспечивающие гранулярный контроль над действиями агентов и гарантирующие безопасность транзакций даже при компрометации агента или возникновении непредвиденных ситуаций.

В отличие от человеческих пользователей, чьи действия на веб-сайте носят последовательный характер, ИИ-агенты способны осуществлять параллельную обработку задач и оптимизацию взаимодействия с веб-сайтом.
В отличие от человеческих пользователей, чьи действия на веб-сайте носят последовательный характер, ИИ-агенты способны осуществлять параллельную обработку задач и оптимизацию взаимодействия с веб-сайтом.

Secure Swarm Toolkit: Децентрализованный Фундамент Авторизации

Набор инструментов Secure Swarm Toolkit (SST) представляет собой децентрализованную систему авторизации, предназначенную для работы с агентским искусственным интеллектом. В отличие от традиционных централизованных моделей, SST распределяет процесс управления доступом между участниками сети, устраняя единую точку отказа и повышая устойчивость системы. Это достигается за счет использования криптографических методов и распределенного реестра, обеспечивающих безопасную аутентификацию и авторизацию агентов без необходимости в центральном органе управления. Такая архитектура позволяет создавать масштабируемые и надежные системы, где агенты могут взаимодействовать друг с другом и с внешними ресурсами в безопасной и контролируемой манере.

Централизованный узел распределения ключей (Auth) в Secure Swarm Toolkit (SST) отвечает за генерацию, хранение и безопасное распространение криптографических сессионных ключей. Эти ключи используются для установления зашифрованных каналов связи между агентами и другими компонентами системы. Auth обеспечивает аутентификацию участников обмена данными и гарантирует конфиденциальность и целостность передаваемой информации посредством симметричного шифрования. Процесс управления ключами включает в себя периодическую ротацию ключей для повышения безопасности и предотвращения компрометации данных, а также механизмы для отзыва ключей в случае необходимости.

В Secure Swarm Toolkit (SST) реализован механизм детального контроля доступа, позволяющий точно определить разрешения для каждого агента. Эта система позволяет назначать агентам конкретные права на выполнение определенных действий или доступ к определенным ресурсам, избегая чрезмерных привилегий и минимизируя риски безопасности. Контроль доступа осуществляется на уровне отдельных операций и данных, что обеспечивает гибкость и гранулярность в управлении правами. В SST это достигается за счет использования политик доступа, определяющих, какие агенты имеют право выполнять какие действия над какими ресурсами, и механизмов проверки этих политик перед выполнением любого действия.

Система Secure Swarm Toolkit (SST) обеспечивает безопасную основу для проверяемой делегации полномочий за счет использования криптографических сеансовых ключей, управляемых централизованным узлом авторизации (Auth). Это позволяет агентам безопасно передавать права доступа другим агентам или процессам, при этом каждая делегация полномочий может быть криптографически подтверждена. Подтверждение делегации основано на цифровых подписях и криптографической цепочке доверия, что гарантирует целостность и аутентичность процесса передачи прав. В результате, система позволяет создавать сложные, динамические структуры доступа, где полномочия могут быть переданы, отозваны и проверены в любое время.

Расширенная база данных аутентификации содержит таблицы, обеспечивающие безопасную делегацию доступа, как показано на примере представленных строк данных.
Расширенная база данных аутентификации содержит таблицы, обеспечивающие безопасную делегацию доступа, как показано на примере представленных строк данных.

Криптографические Примитивы: Укрепление Безопасности

HMAC (Hash-based Message Authentication Code) обеспечивает аутентификацию сообщений с использованием секретного ключа и криптографической хеш-функции. В процессе создания HMAC к сообщению добавляется случайное значение, называемое Nonce (number used once), которое предотвращает атаки повторного воспроизведения (replay attacks). Nonce гарантирует, что каждое сообщение, даже если оно идентично предыдущему, будет иметь уникальный HMAC. Алгоритм вычисляет хеш от конкатенации ключа, Nonce и сообщения, результатом чего является HMAC. Получатель, зная секретный ключ, может повторно вычислить HMAC и сравнить его с полученным, подтверждая таким образом подлинность и целостность сообщения.

Использование криптографических сессионных ключей и HMAC (Hash-based Message Authentication Code) обеспечивает аутентичность и целостность передаваемых сообщений. Сессионные ключи, генерируемые для каждого сеанса связи, предотвращают повторное использование перехваченных данных. HMAC, в свою очередь, использует этот сессионный ключ в сочетании с криптографической хеш-функцией для создания цифровой подписи сообщения. Эта подпись прикрепляется к сообщению и проверяется получателем, используя тот же сессионный ключ. В случае несоответствия подписи, сообщение считается подделанным или поврежденным, обеспечивая надежную защиту от атак, направленных на изменение или подмену данных. Алгоритм HMAC эффективно предотвращает атаки на основе изменения данных во время передачи.

Токенизация, как реализовано в Mastercard Agent Pay, обеспечивает безопасные платежи, осуществляемые агентами искусственного интеллекта, путем замены конфиденциальных данных платежной карты уникальным токеном. Этот токен, не содержащий реальных данных карты, используется для проведения транзакций, минимизируя риск компрометации чувствительной информации. Система Mastercard Agent Pay позволяет агентам ИИ инициировать платежи от имени пользователя, используя токен вместо фактических данных карты, что обеспечивает соответствие стандартам безопасности PCI DSS и снижает необходимость хранения конфиденциальной информации на стороне агента. В рамках этой системы, токен привязан к конкретному агенту и пользователю, обеспечивая контролируемый доступ и предотвращая несанкционированное использование.

Система демонстрирует 100%-ную эффективность в процессах аутентификации, авторизованного доступа и завершения сессий. Данный показатель подтверждается результатами тестирования и мониторинга, указывающими на отсутствие неудачных попыток в указанных операциях. Высокая надежность достигается за счет использования криптографических примитивов и механизмов контроля доступа, что обеспечивает защиту от несанкционированного использования и утечек данных. Отсутствие сбоев в завершении сессий гарантирует своевременное прекращение доступа к ресурсам после окончания работы, минимизируя потенциальные риски безопасности.

Внедрение и Валидация: Создание Экосистемы Агентов

Для создания пользовательского интерфейса и серверной части агентивной AI-системы использованы React Framework и Python Flask. React обеспечивает динамичное и отзывчивое взаимодействие с пользователем, позволяя эффективно визуализировать сложные данные и управлять запросами. Python Flask, в свою очередь, отвечает за обработку этих запросов, координацию работы различных агентов и обеспечение безопасного доступа к ресурсам. Комбинация этих технологий позволила создать масштабируемую и гибкую платформу, способную поддерживать сложные сценарии делегирования задач и взаимодействия между различными AI-агентами, обеспечивая при этом удобство и интуитивно понятный интерфейс для конечного пользователя.

Для обеспечения масштабируемости и производительности разработанная система была развернута и протестирована на суперкомпьютере ASU Sol. Данный подход позволил оценить возможности платформы при обработке значительных объемов данных и выполнении сложных вычислительных задач. Тестирование на ASU Sol, оснащенном передовым аппаратным обеспечением, выявило стабильную работу системы даже при пиковых нагрузках, подтверждая её потенциал для использования в требовательных приложениях, связанных с агентным искусственным интеллектом. Результаты продемонстрировали, что архитектура системы эффективно использует ресурсы суперкомпьютера, обеспечивая надежную и быструю обработку запросов.

В рамках создания самодействующих AI-систем, аутентификация и делегирование полномочий становятся ключевыми задачами. Для решения этой проблемы была применена технология OpenID Connect, позволяющая реализовать верифицированное делегирование. Этот подход обеспечивает безопасную передачу прав доступа между различными агентами AI, гарантируя, что каждое действие выполняется с подтвержденной идентичностью и соответствующими разрешениями. Благодаря OpenID Connect, система способна не только идентифицировать каждого агента, но и контролировать, какие ресурсы и функции ему доступны, что значительно повышает надежность и безопасность всей экосистемы самодействующих AI.

В основе принятия решений агентами в данной системе лежит языковая модель GPT-OSS-20B, выполняющая роль вычислительного ядра. Эта модель отвечает за анализ поступающих запросов, планирование последовательности действий и генерацию ответов, обеспечивая автономность и гибкость каждого агента. Выбор GPT-OSS-20B обусловлен её способностью к сложному логическому выводу и обработке естественного языка, что позволяет агентам эффективно взаимодействовать с окружающей средой и выполнять поставленные задачи. Реализация данной модели на стороне каждого агента позволяет минимизировать задержки и повысить общую эффективность системы, обеспечивая быстрое и адекватное реагирование на изменяющиеся условия.

Исследования показали, что полный цикл задержки для успешной делегированной авторизации в разработанной системе составляет от 127 до 140 секунд, при измерении на суперкомпьютере ASU Sol. Этот временной интервал подтверждает приемлемую производительность системы, позволяя эффективно реализовывать сложные процессы делегирования задач между агентами искусственного интеллекта. Полученные данные демонстрируют, что, несмотря на сложность операций, время от момента запроса доступа до его успешного подтверждения остается в пределах допустимого, обеспечивая плавную и надежную работу всей экосистемы агентного ИИ. Это критически важно для сценариев, требующих быстрого и безопасного обмена полномочиями между различными компонентами системы.

Формальная Верификация и Перспективы Развития

Инструмент формальной верификации Alloy позволяет проводить тщательную проверку свойств безопасности разработанной системы авторизации. В рамках анализа, Alloy моделирует систему и её компоненты, а затем формально доказывает или опровергает заданные свойства, такие как конфиденциальность данных, целостность доступа и отсутствие уязвимостей. Этот подход, в отличие от традиционного тестирования, обеспечивает математическую гарантию корректности системы, выявляя потенциальные ошибки и слабые места, которые могут быть не обнаружены при обычном тестировании. Использование Alloy позволяет повысить надежность и безопасность системы, минимизируя риски несанкционированного доступа и других атак, что особенно важно для критически важных приложений и данных.

Набор инструментов OpenAI Agent Kit значительно упрощает процесс создания и развертывания приложений на основе агентов искусственного интеллекта. Этот набор предоставляет разработчикам готовые компоненты и абстракции, позволяющие быстро прототипировать, тестировать и внедрять сложные агенты, способные выполнять определенные задачи автономно или в сотрудничестве с другими системами. Благодаря Agent Kit, реализация таких функций, как планирование действий, управление инструментами и взаимодействие с внешними сервисами, становится более доступной и эффективной, снижая порог входа для создания интеллектуальных приложений нового поколения и способствуя более широкому распространению агентных технологий.

В основе безопасного функционирования агентов искусственного интеллекта лежит концепция Zero Trust, или «нулевого доверия». Этот подход предполагает, что ни один запрос на доступ, будь то от внутреннего или внешнего источника, не должен автоматически считаться доверенным. Вместо этого, каждый запрос подвергается строгой проверке и аутентификации, основанной на принципе наименьших привилегий. Модели Zero Trust обеспечивают детальный контроль над идентификацией агентов, проверкой их полномочий и мониторингом их действий, что существенно снижает риск несанкционированного доступа к ресурсам и данным. Реализация подобных моделей позволяет создать надежную инфраструктуру, способную эффективно противостоять потенциальным угрозам и обеспечивать конфиденциальность, целостность и доступность информации в сложных системах, управляемых агентами.

Исследования показали, что несанкционированные запросы к системе демонстрируют значительную задержку, составляющую 98,7 секунд. Это существенное увеличение времени обработки по сравнению с успешными запросами с делегированным доступом, что наглядно подтверждает эффективность механизмов отказа в доступе. Данный результат свидетельствует о том, что система успешно идентифицирует и блокирует неавторизованные попытки получения информации или выполнения действий, обеспечивая тем самым высокий уровень безопасности и защиты данных. Задержка, вызванная блокировкой, является намеренной и выполняет функцию защиты, предотвращая потенциальные угрозы и несанкционированное использование ресурсов.

В дальнейшем планируется сосредоточить усилия на расширении возможностей масштабирования, совместимости и защиты персональных данных в рамках развивающейся экосистемы агентов. Улучшение масштабируемости позволит системе эффективно обрабатывать растущие объемы запросов и поддерживать большее количество агентов, функционирующих одновременно. Параллельно с этим, ключевым направлением является повышение совместимости между различными агентами и платформами, что обеспечит бесшовную интеграцию и обмен данными. Не менее важной задачей является усиление защиты персональных данных пользователей, использующих агентов, посредством внедрения передовых методов шифрования и контроля доступа, гарантирующих конфиденциальность и безопасность информации.

Исследование демонстрирует, что эффективное делегирование задач и контроль доступа являются ключевыми элементами для создания надежных и безопасных систем искусственного интеллекта. Авторы предлагают децентрализованный подход к авторизации, основанный на криптографических сессионных ключах, что позволяет агентам ИИ взаимодействовать с веб-сайтами с точным контролем над их действиями. Этот метод особенно важен, учитывая растущую сложность веб-приложений и необходимость защиты от несанкционированного доступа. Как отмечал Алан Тьюринг: «Иногда люди, которые кажутся сумасшедшими, на самом деле являются теми, кто видит вещи, которые другие не видят». Подобно тому, как Тьюринг предвидел возможности вычислительных машин, данная работа предлагает инновационное решение для обеспечения безопасности в мире, где агенты ИИ все активнее взаимодействуют с цифровым пространством.

Куда же дальше?

Представленная работа, по сути, лишь открывает ящик Пандоры. Обеспечение доступа для агентов ИИ — это не просто техническая задача, а фундаментальный вызов для всей концепции доверия в цифровой среде. Детализированный контроль доступа и делегирование полномочий — это, конечно, прогресс, но он лишь усложняет вопрос: а что, если сам механизм делегирования будет скомпрометирован? Каждый эксплойт начинается с вопроса, а не с намерения. Недостаточно защитить сайт от несанкционированного доступа; необходимо спроектировать систему, способную выдержать атаку на саму логику доверия.

Очевидным направлением для дальнейших исследований представляется разработка формальных методов верификации политик доступа. Необходима возможность доказать, что делегированные полномочия действительно ограничены и не позволяют агенту совершать действия, выходящие за рамки установленных правил. Кроме того, крайне важным представляется исследование устойчивости системы к атакам, направленным на манипулирование сессионными ключами и политиками авторизации. Децентрализация — это хорошо, но только в том случае, если она не приводит к хаосу.

И, пожалуй, самое интересное — это изучение взаимодействия между различными агентами и системами делегирования. Как обеспечить совместимость и взаимопонимание между агентами, использующими разные протоколы и политики доступа? Как разрешить конфликты и обеспечить согласованность действий? Ответы на эти вопросы, вероятно, потребуют не только технических инноваций, но и переосмысления самой концепции доверия в эпоху искусственного интеллекта.

Оригинал статьи: https://arxiv.org/pdf/2603.18197.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-03-21 02:22