Исследователи выявили критическую уязвимость в системах безопасности мультиагентных ИИ-архитектур. Традиционные методы мониторинга, проверяющие каждый шаг агента или вызов инструмента по отдельности, не способны обнаружить «распределенные бэкдоры». В таких атаках вредоносная нагрузка фрагментируется между несколькими агентами, что позволяет обходить локальные проверки безопасности, несмотря на то, что итоговый результат действий системы является вредоносным.

Проблема заключается в фундаментальном ограничении текущих систем защиты, которые анализируют контекст изолированно. В мультиагентных средах, где агенты обмениваются данными и совместно используют инструменты, злоумышленники могут распределить этапы атаки так, чтобы каждый отдельный запрос выглядел легитимным и безопасным для системы мониторинга. В результате совокупный эффект от действий группы агентов приводит к выполнению вредоносного кода или утечке данных, оставаясь незамеченным для стандартных фильтров.

Авторы исследования подчеркивают, что существующие подходы к безопасности, основанные на проверке отдельных сообщений или вызовов API, требуют пересмотра. Для защиты сложных систем необходимо внедрение механизмов глобального контроля, способных анализировать цепочки взаимодействий между агентами и оценивать итоговое состояние системы, а не только промежуточные шаги. Это требует разработки новых методов оркестрации, учитывающих целостность выполнения задач на уровне всей агентной сети.

Ключевые факты

  • Уязвимость позволяет обходить runtime-мониторы, которые проверяют каждый шаг агента или вызов инструмента независимо.
  • Вредоносная нагрузка разделяется на части, каждая из которых проходит проверку безопасности как отдельное, безопасное действие.
  • Атака собирается в единый вредоносный объект только в процессе взаимодействия агентов, что делает невозможным обнаружение угрозы на ранних этапах.
  • Текущие системы мониторинга не обладают достаточным контекстом для оценки совокупного результата действий группы агентов.
  • Для предотвращения подобных атак требуется переход от локального контроля к глобальному анализу цепочек агентных взаимодействий.