Anthropic опубликовала руководство Zero Trust for AI agents, предлагающее практический фреймворк для безопасного развертывания автономных ИИ-агентов в корпоративной среде. Документ, опирающийся на стандарты NIST SP 800-207 и рекомендации АНБ 2026 года, исходит из принципа «не доверять по умолчанию»: каждое действие агента должно проверяться, а архитектура – строиться с допущением возможной компрометации. Среди ключевых угроз авторы выделяют прямые и непрямые промпт-инъекции, подмену инструментов, злоупотребление привилегиями, отравление контекста и атаки на цепочку поставок.

Для защиты предлагается трехуровневая модель зрелости. На базовом уровне каждый агент должен получать уникальную криптографическую идентичность, короткоживущие токены и работать по принципу «запрет по умолчанию» с ограничением прав доступа. Для агентов, обрабатывающих недоверенный контент, обязательным назван запуск в песочнице. На продвинутых уровнях рекомендуется внедрение mTLS с взаимной аутентификацией, аппаратно привязанной идентичности через HSM/TPM и удаленной аттестации. Статические API-ключи и общие сервисные пароли признаны неприемлемыми даже для начального этапа.

Особое внимание уделено наблюдаемости: Anthropic советует детально логировать все действия агентов – вызовы инструментов, доступ к данным, внешние коммуникации – и передавать события в SIEM для корреляции в реальном времени. Для критических систем целевое время обнаружения аномалий не должно превышать часа. Компания также предлагает выстраивать «матрицу прослеживаемости», связывающую каждое действие агента с исходным запросом. В части реагирования рекомендуется автоматизировать сбор артефактов и черновики отчетов, но оставлять ключевые решения – о сдерживании, раскрытии инцидента и коммуникации – за людьми. Как отмечают в Anthropic, в лучшей позиции окажутся не организации с самым продвинутым ИИ, а те, у кого сильнее базовая архитектура безопасности.