Представьте себе инсайдера, который не берет отпуск, не пьет кофе и даже не обижается на премию — потому что у него вообще нет чувств, только API и токены доступа. Звучит удобно, пока этот «сотрудник» внезапно не решает отправить кому‑то весь ваш клиентский реестр.

В 2026 году, по оценке Palo Alto Networks, главной инсайдерской угрозой становятся не люди, а AI‑агенты — автономные помощники, глубоко вживлённые в бизнес‑процессы. Gartner прогнозирует, что к концу года 40 % корпоративных приложений будут интегрированы с такими задачными агентами, против менее чем 5 % в 2025‑м. Массовое внедрение даёт компаниям, в том числе российским, мощный бонус: закрывается дефицит киберкадров, автоматизируется разбор логов, triage алертов, исправление багов и даже стратегический анализ устойчивости инфраструктуры.

Но у медали есть острая кромка. Чтобы агент был полезен, ему дают доступ к системам и данным. Так рождается «проблема суперпользователя»: одному ИИ по ошибке разрешают слишком многое, и он незаметно связывает воедино доступы к разным приложениям. Для атакующего достаточно одной продуманной prompt‑инъекции — и у него в руках автономный «цифровой инсайдер», способный провести перевод, удалить бэкапы или выкачать базу клиентов.

Следующая ступень риска — «доппельгангеры» топ‑менеджеров. Агент, который от имени CEO согласовывает контракты и платежи, сокращает бюрократию, но в момент компрометации превращается в идеальный инструмент мошенничества и кибершпионажа. Недавние атаки, описанные Anthropic, уже показали, как ИИ‑инструменты вроде Claude Code можно заставить работать на разведку против владельца.

При этом злоумышленники сами активно используют ИИ: вместо ручного продвижения по сети они сразу лезут к внутренней LLM и просят её расписать слабые места и план атаки. Маленькая группа хакеров с ИИ‑ускорением действует как целая армия.

Рецепт защиты банален, но жизненно важен: относиться к ИИ‑агентам как к реальным сотрудникам. Принцип наименьших привилегий, чёткие роли, ограниченные контексты, жёсткие проверки prompt‑инъекций и постоянный мониторинг действий агента. И главное — возможность в один клик лишить его всех прав, если «цифровой коллега» вдруг решит поработать на другую сторону.