У подкасті Security Intelligence від IBM Technology креативна директорка IBM X‑Force Cyber Range Клер Нуньєс, віцепрезидент з глобального управління кіберзагрозами Дейв Маꥳнніс та інженерка з виявлення загроз Кіммі Фаррінгтон обговорюють, як агентні системи на кшталт OpenClaw змінюють саму природу кібербезпеки. На тлі експерименту Sophos з OpenClaw як пен‑тестером розмова швидко переходить до більш тривожної теми: що відбувається, коли такі агенти починають жити всередині корпоративної інфраструктури як майже повноцінні «інсайдери» — і як безпека має навчитися ними керувати.
Коли адміни випереджають безпеку: як OpenClaw раптово опинився в мережі IBM
OpenClaw — це відкритий AI‑агент, який можна налаштувати як автоматизованого «червоного тімера» для пошуку вразливостей. Як тільки він став доступний публічно, в IBM стався показовий інцидент: низка мережевих адміністраторів просто взяла й завантажила OpenClaw на власні системи, почавши експериментувати з ним самостійно.
Для інженерів з виявлення загроз це миттєво перетворилося на кризовий сценарій. Команда Кіммі Фаррінгтон раптом опинилася перед фактом: усередині корпоративної мережі вже працює потужний агент з розширеними правами, який ніхто централізовано не планував, не оцінював і не контролював. Потрібно було терміново зрозуміти, як його виявляти, як блокувати і як взагалі ставитися до подібних інструментів.
Цей епізод оголює ключову проблему епохи агентних AI‑систем: як тільки інструмент стає масовим, контроль над його поширенням практично неможливо утримати в межах традиційних процесів IT‑управління. Адміністратори, розробники, ентузіасти безпеки — усі, хто має достатні привілеї на своїх машинах, можуть почати використовувати такі агенти без формального погодження. Безпека опиняється в ролі тих, хто «наздоганяє», а не задає правила гри.
У випадку IBM це означало одне: довелося в авральному режимі розбиратися, як саме працює OpenClaw, які артефакти він залишає, як поводиться в системі, і які технічні та організаційні обмеження можуть реально зупинити або хоча б стримати його діяльність.
Привілейований агент на кінцевій точці: чому OpenClaw важко зупинити
Те, що робить OpenClaw корисним як інструмент безпеки, одночасно робить його кошмаром для команд виявлення та реагування. Агент працює на кінцевих точках як привілейований процес, свідомо наділений правами «робити речі за вас» — сканувати, змінювати конфігурації, запускати команди, збирати дані.
У традиційній моделі endpoint‑захисту безпека намагається обмежити саме такі дії: ескалацію привілеїв, масові зміни, нетипові запити до мережі. Коли ж організація сама встановлює агенту подібні повноваження, класичні сигнатури, евристики та політики починають працювати проти власних користувачів. Виникає парадокс: те, що виглядає як потенційно шкідлива активність, одночасно є «очікуваною поведінкою» санкціонованого інструмента.
У випадку IBM ситуацію ускладнило те, що OpenClaw з’явився в мережі не як частина централізованого проєкту, а як ініціатива окремих адміністраторів. Відповідно, не було ні єдиного профілю дозволеної поведінки, ні чітких зон, де агент мав право працювати, ні попередньо налаштованих винятків у системах захисту. Інженерам довелося одночасно:
- зрозуміти, як технічно ідентифікувати OpenClaw серед інших процесів і трафіку;
- вирішити, чи потрібно його блокувати повністю, чи лише обмежувати;
- не зламати при цьому легітимні робочі процеси, які вже встигли на ньому побудувати.
Сам факт, що агент діє з розширеними правами, означає: прості підходи на кшталт блокування певних команд або портів дають обмежений ефект. OpenClaw може адаптуватися, змінювати тактику, використовувати інші шляхи досягнення цілей. Для захисту це вже не просто «програма», а активний суб’єкт у системі.
AI‑агенти як новий периметр: розширена площа атаки всередині організації
Учасники панелі IBM описують AI‑агентів як величезну нову площу атаки, яку захисники тільки починають усвідомлювати. Якщо раніше основний фокус був на зовнішніх загрозах — зловмисниках, шкідливому ПЗ, фішингу, — то тепер у мережі з’являється ще один клас сутностей: автономні або напівавтономні агенти, що мають доступ до систем і даних від імені організації.
Ці агенти:
- можуть виконувати дії в багатьох системах одночасно;
- часто мають ширші права, ніж окремі користувачі;
- здатні швидко масштабувати свої операції;
- приймають рішення на основі моделей, які складно повністю інтерпретувати.
У такій конфігурації AI‑агент стає схожим на внутрішнього користувача з розширеними повноваженнями — але з додатковою непередбачуваністю. Не випадково Дейв Маꥳнніс влучно називає їх «найбільш корисними інсайдерськими загрозами, які ми коли‑небудь мали». Вони дійсно можуть приносити величезну користь, але за своєю природою ближчі до потенційного інсайдера, ніж до звичайного інструмента.
Це змінює саму логіку захисту. Потрібно думати не лише про те, як не допустити проникнення ззовні, а й про те, як:
- моделювати ризики, пов’язані з діями власних агентів;
- запобігати їхньому зловживанню або підриву з боку зловмисників;
- контролювати, які саме системи й дані вони можуть торкатися;
- відстежувати їхні рішення та пояснювати їх наслідки.
OpenClaw у мережі IBM став практичним прикладом того, як швидко ця нова площа атаки може матеріалізуватися. Один публічний реліз — і всередині великої корпорації вже працює ціла низка привілейованих агентів, які безпека не встигла ні оцінити, ні формально дозволити.
Людина в контурі: чому повністю автономні агенти поки що небезпечні
На тлі таких інцидентів IBM‑івські експерти сходяться в одному: сьогодні AI‑агенти в безпеці мають працювати лише з людиною в контурі, а не як повністю автономні системи.
Це стосується як пен‑тестингу, так і ширших сценаріїв використання. OpenClaw може прискорити пошук вразливостей, знизити вартість тестування, зробити безпеку більш «відчутною» для організацій, які раніше не могли собі дозволити масштабні аудити. Але результати його роботи не можна сприймати як остаточну істину.
Клер Нуньєс наголошує: людські експерти все ще мають перевіряти AI‑знахідки, інтерпретувати їх у контексті бізнесу, інфраструктури, реальних ризиків. Автоматичний звіт агента — це лише одна проєкція реальності, по суті одномірний погляд. Людина додає багатовимірність: розуміння пріоритетів, залежностей, можливих побічних ефектів виправлень.
Те саме стосується й операційних агентів, які можуть не лише знаходити проблеми, а й виправляти їх. Ідея «натиснути кнопку й дозволити AI самостійно латати інфраструктуру» виглядає привабливо, але на практиці створює величезні ризики. Без людського контролю агент може:
- обрати надто агресивне виправлення й зупинити критичний сервіс;
- неправильно інтерпретувати політики доступу;
- створити нові вразливості, намагаючись закрити старі.
Тому рекомендація IBM‑івських фахівців однозначна: AI‑агенти мають працювати як помічники, а не як автономні оператори. Людина має затверджувати їхні дії, коригувати стратегію, ставити під сумнів висновки й дивитися на ситуацію ширше, ніж це робить модель.
Чому саме безпека має очолити впровадження AI‑агентів
Попри всі ризики, учасники дискусії вважають, що саме кібербезпека — одна з найкраще підготовлених функцій до відповідального впровадження AI‑агентів.
Є кілька причин.
По‑перше, безпекові команди вже давно живуть у режимі перевантаження даними. Системи моніторингу, журналювання, SIEM‑платформи генерують більше подій, ніж люди здатні опрацювати вручну. Автоматизація аналізу патернів, кореляція сигналів, пріоритизація інцидентів — це саме ті задачі, де AI може принести реальну, відчутну користь.
По‑друге, фахівці з безпеки звикли мислити категоріями «гардрейлів» і «мінімально необхідних прав». Вони постійно ставлять незручні запитання: хто й навіщо має доступ, які дії дозволені, де проходить межа прийнятного ризику. Цей досвід безпосередньо переноситься на управління AI‑агентами: від визначення їхніх повноважень до побудови процесів моніторингу й аудиту.
По‑третє, безпека традиційно працює з інсайдерськими загрозами. Моделі ризику, які застосовуються до привілейованих користувачів, тепер можна й потрібно застосовувати до агентів. Це включає сегментацію доступу, принцип «поділу обов’язків», журналювання кожної критичної дії, регулярні рев’ю прав.
І нарешті, саме безпека найкраще розуміє, що станеться, якщо AI‑агент потрапить у руки зловмисників або буде скомпрометований. Це створює природну мотивацію не лише експериментувати з новими інструментами, а й будувати навколо них зрілу систему управління ризиками.
Інцидент з OpenClaw в IBM показує, що навіть у компанії з потужною безпековою культурою спонтанне впровадження агентів можливе й дуже ймовірне. Висновок не в тому, щоб забороняти інструменти, а в тому, щоб безпека першою брала їх у руки, розуміла їхню поведінку й задавала рамки для всієї організації.
Висновок: від «нічного жаху» до керованого інструмента
OpenClaw став для IBM одночасно попередженням і можливістю. З одного боку, поява привілейованого AI‑агента в мережі без попереднього плану справді виглядає як «нічний жах» для інженерів з виявлення загроз. З іншого — саме такі епізоди змушують організації швидко будувати нові підходи до контролю агентів, які неминуче стануть частиною повсякденної роботи.
AI‑агенти вже сьогодні поводяться як внутрішні суб’єкти з широкими правами. Вони розширюють площу атаки, створюють новий клас ризиків і вимагають від безпеки мислити не лише категоріями «зовнішній нападник проти нашого периметра», а й «наш власний агент як потенційний інсайдер».
Поки що відповідь IBM‑івських експертів чітка: людина має залишатися в контурі, результати AI‑пен‑тестів — перевірятися експертами, а самі агенти — розглядатися як потужні, але потенційно небезпечні інструменти, для яких потрібні такі ж суворі гардрейли, як і для будь‑якого привілейованого користувача.
Ті організації, які дозволять експериментам з агентами відбуватися стихійно, ризикують опинитися в ситуації IBM — але без її ресурсів і досвіду. Ті ж, хто дасть безпеці мандат очолити впровадження AI‑агентів, мають шанс перетворити «найкориснішу інсайдерську загрозу» на керований, передбачуваний і по‑справжньому стратегічний інструмент захисту.