Veszélyt látnak, de nem tesznek ellene
A helyzet fonákságát a számok is alátámasztják: a Gravitee felmérésében a vezetők 82%-a hiszi, hogy céges szabályzata elég védelmet ad az MI-ügynökök jogosulatlan lépései ellen, miközben valójában 88% számolt be biztonsági esetről az elmúlt évben. Mindössze minden ötödik vállalat látja futás közben, mit csinálnak a saját MI-ügynökeik. Az Arkose Labs szerint a biztonsági vezetők 97%-a számít rá, hogy 12 hónapon belül súlyos, MI-ügynökhöz köthető incidensük lesz, ugyanakkor a biztonsági büdzsék alig 6%-át költik kifejezetten erre a problémára.
Az MI-ügynökök megfigyelésére szánt kiadások idén márciusban ugyan visszatértek 45%-os arányra a teljes kiberbiztonsági költségvetésen belül, de a vállalatok zöme még mindig csak figyeli a történéseket, miközben az ügynököknek már elszigetelésre lenne szükségük. A CrowdStrike Falcon szenzorai 1 800 MI-alkalmazást érzékeltek nagyvállalati végpontokon, és a támadók akár percek alatt képesek áttörni a védelmet, ami ellen a hagyományos, emberi időre szabott megfigyelőpanelek teljesen hatástalanok.
Hol vérzik el a védelem?
A kockázatot az OWASP ASI részletesen kategorizálta: a célok eltérítésétől a jogosultságok visszaélésén át az ügynökök közötti kommunikációig tíz fő fenyegetés létezik, amelyek többsége klasszikus LLM-rendszerekben elképzelhetetlen lenne. A leglátványosabb rések: hiányos naplózás, az időben történő felismerés hiánya, az MI-ügynök tevékenysége azonosnak tűnik az emberivel, így egy jogosulatlan belépés vagy adatlopás könnyen elbújhat a normál háttérzajban.
Egy friss példában egy MCP-szerver hamisított segédeszköz-leírása miatt az ügynök képes volt bizalmas állományokat kiszivárogtatni vagy megbízható szervert eltéríteni. Sok helyen továbbra is megosztott API-kulcsokkal futnak az ügynökök, vagyis egy visszaélés esetén a támadó korlátlanul terjeszkedhet akár vállalaton belül is.
Vagyis hiába ellenőrzik az MI-beszállítókat, valójában csak a felületet ismerik, a mélyebb rétegekről, függőségekről alig van információjuk, pedig a valódi kockázat ott lapul – főleg nagy stressz vagy célzott támadás esetén.
Audit hiánya, felelősségi zavar
2026-tól az USA egészségügyi szabályzata több tízmilliós (a HIPAA szerinti Tier 4: kb. 1,3 milliárd forint) büntetést szab ki szándékos elhanyagolásért. Az egészségügy különösen kitett: itt az MI-ügynökhöz köthető incidensek aránya 92,7%. A minimum elvárás: minden ügynök tranzakciója naplózva, a veszélyes lépésekhez kifejezett emberi jóváhagyás szükséges.
A gyorsaság szintén kockázati tényező – a támadók 72 órán belül visszafejtenek, és ellenlépést készítenek egy-egy frissített biztonsági csomag ellen, miközben a cégek jó része csak hetekkel később frissít, az MI-ügynökök pedig gépi sebességgel képesek kihasználni ezt az ablakot.
Most is csupán a csapatok alig 22%-a kezeli az MI-ügynököket névhez köthető identitásként, a többség osztott API-kulcsokat használ, ráadásul minden negyedik ügynök képes további ügynököket generálni, akár a biztonságiak tudta nélkül – ez már önmagában kódolja a láncreakciós incidenseket.
A guardrail nem stratégia!
Új kutatás egyértelműen mutatja: még a legújabb modellek is megkerülhetők; a finomhangolt támadások Claude 3 Haiku esetében 72%-ban, a GPT-4o-nál 57%-ban sikeresek. Egy rosszindulatú ügynök pont nem azt teszi, amit mondanak neki, hanem azt, amit elérhet. Sőt, a biztonsági vezetők kétharmada szerint a legfőbb prioritás a jogosulatlan műveletek megakadályozása – vagyis nem a kérdések és kérések szabályozása, hanem a konkrét hozzáférések és végrehajtható parancsok tiltása.
Nem elég egy keretrendszer: az MI-ügynökök hamarosan többen lesznek, mint az emberek, mindegyik szuperfelhasználóként működik majd, API-kulcsokkal, OAuth-tokenekkel, hatalmas adatmennyiségekhez férve. Az emberközpontú azonosítási és jogosultsági rendszerek halálra vannak ítélve.
Mit csinálnak a felhőóriások és a nagyvállalatok?
A Microsoft, Anthropic, Google, AWS, OpenAI mind kínál már különböző eszközöket az ügynökök azonosítására és elszigetelésére, ám jelenleg egyiknél sincs teljes körű, harmadik szintű védelem, azaz teljes sandbox-megoldás és ügynökök közti audit. Jellemző, hogy minden platform csak a saját környezetében ad védelmet, de az ügynökök egy része nyílt forrású keretrendszerekben fut – LangChain, CrewAI, LlamaIndex –, ezekben viszont a legalapvetőbb biztonsági logika is sokszor hiányzik. Védelem? Maximum akkor, ha a cég maga rétegzi rá.
Az Allianz – a világ egyik legnagyobb biztosítója – Claude Managed Agents-re alapoz már most produkciós MI-folyamatokat, dedikált naplózással, teljes végrehajtási átláthatósággal. Ipari minta: harmadik szintű izoláció, külön-külön ügynöki jogosultságok, végrehajtási lánc naplózása – ez most is működik, nem csak jövőkép.
Háromlépéses védelmi menetrend
1-30. nap: Teljes leltár, minden ügynök gazdájának kijelölése, API-kulcsok visszavonása, olvasási naplózás bevezetése minden forgalomra. Minden MCP-szerver tesztelése.
31-60. nap: Jogosultságok szűkítése, minden ügynökhöz egyedi identitás, írási műveleteknél jóváhagyási folyamat, SIEM-integráció, kanári-token teszt.
61-90. nap: Sandboxolás a kritikus ügynököknél, minden delegációnál emberi jóváhagyás, vöröscsapat-teszt, kockázati összegzés a szabályozási megfeleléshez.
A következő 30 napban, augusztus 2-től életbe lép az EU MI-törvény kézi felügyeletre vonatkozó előírása. A név nélküli, visszakövethetetlen MI-ügynökök jogi kockázatot hoznak.
Büdzsé, érettség, adósság
Átlagosan a vállalatok még csak 2,3-as szinten járnak a lehetséges 4-ből az MI-biztonság érettségét nézve, továbbra is lemaradásban vannak az audit, az elszigetelés, a részletes engedélyezés terén. Időközben a cégek csaknem 20%-ánál stagnál az MI-biztonsági büdzsé, miközben az éles ügynöktelepítések száma nő – vagyis a szervezetek gépi sebességgel halmozzák a biztonsági adósságot. Még mindig minden huszadik vállalatnál nincs semmiféle MI-ügynökre szabott védelem, holott a fenyegetés már nem elméleti, hanem napi valóság.
