Как хакеры взламывают AI-агентов: разбор трёх реальных пробоев и почему ред-тиминг бессилен

В 2026 году основной поверхностью атак становятся не сами LLM, а AI-агенты с инструментами, памятью и доступом к внешним сервисам. Обычный ред-тиминг часто не замечает специфических уязвимостей, связанных с архитектурой агентов.

Автор добавил в свой open-source сканер BarkingDog режим тестирования Agentic AI и проверил три популярных open-source проекта: Agno, OpenAI CS Agents Demo и LangGraph agent-service-toolkit. В результате были выявлены три разных класса проблем: Confused Deputy (ASI03), Trust Exploitation (ASI08) и Agentic DoS (ASI06).

В статье разбираются реальные пейлоады, ответы агентов и архитектурные причины этих уязвимостей. Например, Confused Deputy позволяет атакующему заставить агента выполнить действие от имени другого пользователя, а Agentic DoS — исчерпать ресурсы агента через бесконечные циклы.

Эти находки показывают, что безопасность AI-агентов требует специализированных инструментов и методологий, выходящих за рамки традиционного пентеста. BarkingDog становится одним из первых open-source решений для автоматизированного поиска таких уязвимостей.