За последний год ИИ-агенты стали настоящим хитом. OpenAI, Google и Anthropic выпустили общедоступные агенты, предназначенные для выполнения многоэтапных задач, поставленных людьми. За последний месяц ИИ-агент с открытым исходным кодом под названием OpenClaw покорил интернет благодаря своим впечатляющим автономным возможностям (и серьезным опасениям по поводу безопасности). Но у нас нет четкого представления о масштабах операций ИИ-агентов и о том, соответствует ли весь этот шум реальному внедрению. Компьютерная школа инженерии и прикладной информатики Массачусетского технологического института (CSAIL) решила исправить это, опубликовав свой «Индекс ИИ-агентов 2025», который дает первое реальное представление о масштабах и операциях ИИ-агентов в реальном мире.
Исследователи обнаружили, что интерес к ИИ-агентам, несомненно, резко возрос за последний год. Исследовательские работы, упоминающие «ИИ-агент» или «Агентный ИИ» в 2025 году, более чем вдвое превысили общий объем за 2020–2024 годы, а опрос McKinsey показал, что 62% компаний сообщили, что их организации по крайней мере экспериментируют с ИИ-агентами.
Учитывая весь этот интерес, исследователи сосредоточились на 30 известных ИИ-агентах из трех отдельных категорий: чат-ориентированные варианты, такие как ChatGPT Agent и Claude Code; браузерные боты, такие как Perplexity Comet и ChatGPT Atlas; и корпоративные решения, такие как Microsoft 365 Copilot и ServiceNow Agent. Хотя исследователи не предоставили точных данных о том, сколько именно ИИ-агентов развернуто в интернете, они дали значительный объем информации о том, как они работают, в основном без какой-либо системы безопасности.
Лишь половина из 30 ИИ-агентов, оказавшихся под пристальным вниманием MIT CSAIL, включает опубликованные политики безопасности или доверия, такие как «Политика ответственного масштабирования» Anthropic, «Фреймворк готовности» OpenAI или «Стандарт ответственного ИИ» Microsoft. Каждый третий агент вообще не имеет какой-либо документации по безопасности, а у пяти из 30 отсутствуют стандарты соответствия. Это вызывает беспокойство, учитывая, что 13 из 30 рассмотренных систем демонстрируют передовые возможности, означающие, что они могут работать в значительной степени без надзора человека при выполнении длительных последовательностей задач. Браузерные агенты, в частности, как правило, работают со значительно большей автономией. Сюда относятся, например, недавно запущенный Google ИИ «Autobrowse», который может выполнять многоэтапные задачи, перемещаясь по различным веб-сайтам и используя информацию пользователя, например, для входа на сайты от вашего имени.
Одна из проблем, связанных с предоставлением агентам свободного доступа при минимальных ограничениях, заключается в том, что их деятельность почти неотличима от человеческого поведения, и они мало что делают, чтобы развеять возможную путаницу. Исследователи обнаружили, что 21 из 30 агентов не предоставляет конечным пользователям или третьим сторонам уведомлений о том, что они являются ИИ-агентами, а не людьми. В результате большая часть активности ИИ-агентов ошибочно принимается за трафик от реальных пользователей. MIT обнаружил, что лишь семь агентов опубликовали стабильные строки User-Agent (UA) и диапазоны IP-адресов для проверки. Почти столько же агентов явно используют строки UA, похожие на Chrome, и контекст резидентных/локальных IP-адресов, чтобы их трафик выглядел более человеческим, что делает практически невозможным для веб-сайта отличить подлинный трафик от поведения бота.
Для некоторых ИИ-агентов это на самом деле является продающим свойством. Исследователи обнаружили, что BrowserUse, ИИ-агент с открытым исходным кодом, продает себя пользователям, утверждая, что обходит антибот-системы, чтобы просматривать интернет «как человек». Более половины всех протестированных ботов не предоставляют конкретной документации о том, как они обрабатывают файлы robots.txt (текстовые файлы, размещенные в корневом каталоге веб-сайта, чтобы инструктировать веб-краулеры о том, как они могут взаимодействовать с сайтом), CAPTCHA, предназначенные для аутентификации человеческого трафика, или API сайтов. Perplexity даже утверждает, что агенты, действующие от имени пользователей, не должны подпадать под ограничения скрапинга, поскольку они функционируют «точно так же, как человеческий ассистент».
Тот факт, что эти агенты находятся в реальном мире без особых мер защиты, создает реальную угрозу эксплуатации. Существует недостаток стандартизации для оценки безопасности и раскрытия информации, что делает многих агентов потенциально уязвимыми для таких атак, как внедрение вредоносных подсказок (prompt injections), когда ИИ-агент обнаруживает скрытую вредоносную подсказку, которая может заставить его нарушить свои протоколы безопасности. По данным MIT, у девяти из 30 агентов нет документации о мерах защиты от потенциально вредоносных действий. Почти все агенты не раскрывают результаты внутренних тестов безопасности, а 23 из 30 не предоставляют информации о тестировании безопасности третьими сторонами.
Лишь четыре агента — ChatGPT Agent, OpenAI Codex, Claude Code и Gemini 2.5 — предоставили системные карты, специфичные для агентов, что означает, что оценки безопасности были адаптированы к тому, как агент фактически работает, а не просто к базовой модели. Но передовые лаборатории, такие как OpenAI и Google, предоставляют больше документации о «экзистенциальных рисках и рисках поведенческого соответствия», им не хватает деталей о типе уязвимостей безопасности, которые могут возникнуть в ходе повседневной деятельности — это практика, которую исследователи называют «безопасное отмывание» (safety washing), которое они описывают как публикацию высокоуровневых фреймворков безопасности и этики при выборочном раскрытии только эмпирических данных, необходимых для тщательной оценки рисков.
По крайней мере, наметилась некоторая тенденция к устранению проблем, поднятых исследователями MIT. В декабре OpenAI и Anthropic (среди прочих) объединили усилия, объявив о создании фонда для разработки стандарта для ИИ-агентов. Но «Индекс ИИ-агентов» показывает, насколько велик разрыв в прозрачности, когда речь идет об операционной деятельности агентного ИИ. ИИ-агенты наводняют интернет и рабочие места, функционируя с шокирующим уровнем автономии и минимальным надзором. На данный момент мало что указывает на то, что безопасность в ближайшее время догонит масштаб.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – AJ Dellinger
