ИИ-ассистенты и идентичность: новая поверхность атаки
Когда корпоративные ИИ-ассистенты получают доступ к почте, документам и системам - появляется новый класс угроз, который стоит понимать руководителям.
К середине 2025 года корпоративные ИИ-ассистенты перестали быть экспериментом и стали частью рабочего процесса. Они читают почту, суммируют документы, отвечают на вопросы по базе знаний, создают черновики писем. Это полезно. Но за этой полезностью стоит новый слой управления доступом, который во многих компаниях ещё не продуман.
Проблема не в том, что ИИ-ассистенты небезопасны. Проблема в том, что они получают доступ к данным и системам, и этот доступ часто настраивается быстро, без системного анализа рисков.
Как выглядит новая поверхность атаки
Когда сотрудник подключает ИИ-ассистент к своей корпоративной почте или к корпоративному хранилищу документов - он делегирует этому инструменту часть своих полномочий. Инструмент может читать то, что читает он, писать от его имени или выполнять действия в системах, к которым у него есть доступ.
С точки зрения безопасности это создаёт несколько векторов:
Компрометация через провайдера. Если ИИ-сервис, к которому подключён ассистент, будет взломан или начнёт работать некорректно - он потенциально получит доступ к данным сотрудника. Это тот же класс риска, что и при компрометации любого другого SaaS-инструмента, но с расширенным доступом к переписке и документам.
Prompt injection. Новый класс атаки, специфичный для ИИ: злоумышленник встраивает инструкции в содержимое документа или письма, которые ИИ-ассистент читает. Ассистент, следуя этим инструкциям, выполняет нежелательные действия - пересылает данные, создаёт файлы, совершает действия в системах. Для сотрудника это выглядит как обычная работа ассистента.
Избыточные права. ИИ-ассистент часто подключается с теми же правами, что и пользователь. Если у пользователя есть доступ к финансовым документам, документам HR и операционным системам - ассистент также имеет ко всему этому доступ. Принцип минимальных привилегий здесь нарушается по умолчанию.
Что делать компаниям
Я не призываю запрещать ИИ-ассистентов - это контрпродуктивно. Но есть несколько практических шагов, которые снижают риски без потери пользы.
Первый - инвентаризация. Какие ИИ-ассистенты или ИИ-интеграции сейчас используются в компании и к каким корпоративным системам они подключены? У многих компаний нет ответа на этот вопрос.
Второй - политика подключений. Новый ИИ-инструмент с доступом к корпоративным данным проходит тот же минимальный security review, что и любой другой SaaS. Это не бюрократия - это базовый контроль.
Третий - ограничение доступа. Там, где возможно - ИИ-ассистент получает доступ только к тем данным, которые нужны для его задач. Если ассистент помогает с поддержкой клиентов - он не должен видеть финансовые документы.
Четвёртый - мониторинг действий. Если ИИ-ассистент может совершать действия от имени пользователя - эти действия должны логироваться и периодически проверяться.
Почему это не только технический вопрос
Безопасность ИИ-ассистентов - это в первую очередь политический вопрос, а не технический. Технические меры - логи, права, мониторинг - реализуются быстро, если есть решение. Сложнее другое: в компании должна быть позиция о том, каким инструментам и при каких условиях можно доверять корпоративные данные.
Эта позиция не должна быть тотальным запретом. Но она должна быть. Пока её нет, каждый сотрудник принимает это решение самостоятельно - и по-разному.
Вопрос для руководителя: есть ли в компании политика, которая отвечает на вопрос "при каких условиях ИИ-инструмент может получить доступ к корпоративным данным?" Если нет - это пробел, который стоит закрыть до инцидента.