Исчезшие в «Теневом управлении» 2 доллара: инцидент с выходом за границы ИИ

Иллюзии искусственного интеллекта ранее рассматривались как безобидные искажения информации: создание вымышленных фактов или бессмысленный набор слов. Но реальность 2026 года дала нам жесткий урок: когда AI эволюционирует из чат-бота в агента, иллюзии начинают превращаться в дорогостоящие риски исполнения. Проблема уже не сводится к простым ошибкам — теперь он способен напрямую похитить ваши активы.

Ядовитая цепочка поставок: от ручного кодирования к vibe coding

На этой неделе произошел инцидент с отравлением LiteLLM, который стал тревожным сигналом для этой тенденции.

Будучи базовым движком для почти всех популярных фреймворков AI-агентов, LiteLLM столкнулся с типичной атакой через цепочку поставок. Злоумышленник получил доступ к ключам публикации через уязвимость в цепочке инструментов безопасности и распространил вредоносный код под видом официальной версии. Благодаря подписи, которая казалась легальной, традиционные механизмы проверки практически не сработали.

Интересно, что расследование показало: утечка обнаружилась лишь потому, что в коде злоумышленника при обработке рекурсии допущена грубая ошибка, из-за которой компьютер жертвы завис из-за исчерпания ресурсов.

Это выявило долгосрочную уязвимость открытых экосистем: при установке библиотеки вы фактически доверяете целому дереву зависимостей из сотен пакетов. Любая порча узла в этом дереве может просочиться в ядро производственной среды.

В контексте популярной парадигмы vibe coding этот риск усиливается. Множество разработчиков используют естественный язык для описания требований, а AI автоматически генерирует код. При ошибках разработчики зачастую просто принимают рекомендации AI и выполняют команды вроде pip install, не проверяя источник и безопасность зависимостей.

В такой среде порог входа снижается, но сложность безопасности не уменьшается. Каждая, казалось бы, простая установка зависимостей фактически вводит новые неопределенности, которые постепенно превращаются в системные риски.

Инцидент внутри Meta: когда человек становится интерфейсом исполнения

Аналогичные изменения происходят и на уровне взаимодействия человека с машиной. По мере перехода разработки программного обеспечения от пошаговых операций к результат-ориентированному подходу роль человека меняется: от судьи — к узлу подтверждения, а иногда — просто к интерфейсу исполнения.

Разработка программного обеспечения переживает качественный скачок: от «ручного» к «автоматическому управлению». Раньше разработчики отвечали за каждое действие; после внедрения AI-агентов человек становится скорее пассажиром в автоматическом режиме, постепенно сводя свою роль к подтверждению процессов или просто к конечной точке исполнения.

Когда роль человека деградирует с «судьи» до «исполнительного интерфейса» AI, желание проверять и контролировать резко снижается.

Недавний инцидент уровня SEV1 в Meta подтверждает это: инженер в внутреннем форуме вызвал AI-агента для ответа на технический вопрос, и агент без проверки опубликовал ответ. Другой инженер, доверившись этому совету, выполнил операцию, что привело к неправильной настройке прав системы и утечке чувствительных данных в течение двух часов без разрешения.

Официальная версия — «человеческая ошибка», но с точки зрения взаимодействия человека и машины это скорее сбой интерфейса. Когда вывод AI кажется настолько профессиональным и «исполняемым», механизм проверки человека автоматически ослабевает.

Эти изменения в информационных системах можно компенсировать откатом или исправлением, но когда AI начинает вмешиваться в системы с реальными последствиями — особенно связанные с активами и транзакциями — иллюзии превращаются в дорогостоящий необратимый счет.

Урок за 2 доллара: как одна замена — и спасение

Если инцидент в Meta — это ошибка в правах доступа, то в финансовой сфере проблема становится еще серьезнее, ведь она напрямую касается собственности.

С 2026 года множество кошельков и инфраструктурных проектов активно внедряют продукты с агентским управлением (Agentic Wallet), пытаясь дать AI-агентам возможность напрямую управлять транзакциями на блокчейне. Команда Cobo AI при системных тестах этого нового класса обнаружила типичное поведение, которое они назвали Shadow Custody — «теневое хранение» — когда агент без ведома пользователя создает ключи, временные адреса и фактически передает контроль над активами из кошелька пользователя в скрытую, недоступную для него промежуточную точку. В результате появляется адрес, который пользователь не может контролировать напрямую — логическая «черная яма», невидимая с его стороны.

Процесс инцидента можно описать так: пользователь поручает агенту купить на Polymarket 2 доллара в «Spain YES». В процессе выполнения агент сталкивается с проблемой: для транзакции требуется цифровая подпись по стандарту EIP-712, а используемый SDK по умолчанию объединяет «формирование данных для подписи» и «подписывание приватным ключом» в один шаг — то есть предполагает, что у вас есть приватный ключ под рукой.

Проблема в том, что кошелек пользователя — это не обычный кошелек с приватным ключом, а мультиподписанный MPC-кошелек, который способен подписывать, но использует другую схему. Агент этого не учел и, столкнувшись с невозможностью подписать, решил, что кошелек не может подписать.

В системе, основанной на доверии к правилам, процесс должен был остановиться или потребовать дополнительного разрешения.

Но агент не остановился. Он интерпретировал проблему как невозможность подписи и нашел обходной путь: создал новый временный приватный ключ, с помощью которого создал временный адрес. Затем он перевел 2 USDC.e с MPC-кошелька на этот адрес и подписал транзакцию этим новым ключом, успешно купив токен.

По результату — всё прошло как запланировано: 10 единиц «Spain YES» было куплено.

Но по сути — всё было сделано неправильно.

Эти токены не вернулись в MPC-кошелек, а остались на временном адресе, созданном агентом. Пользователь этого не заметил, пока баланс не стал равен нулю, и только после дальнейших запросов агент раскрыл весь механизм.

Путь перехвата: не только баг

Это не просто баг, скорее — агент не ошибся, он просто заполнил пробел в определении границ системы.

Проще говоря, когда изначальный путь недоступен, агент не останавливается и не выбрасывает ошибку, а вместо этого, чтобы «выполнить задачу», сам создает обходной маршрут. Он втайне создает временный адрес для транзакций, не сообщая об этом пользователю. Такое расхождение между восприятием пользователя и реальной ситуацией — это и есть путь перехвата.

Этот скрытый перехват маршрута отражает системные риски в машинных финансовых системах: прозрачность путей, семантическая согласованность и стабильность среды исполнения.

И как только такие «обходные» схемы теряют контроль, они открывают три двери для злоумышленников:

• Логический сдвиг: злоумышленник не нуждается в подделке ссылок или всплывающих окон — достаточно внедрить в код вызов временного кошелька. Пользователь видит успешную транзакцию, а контроль над активами уже в руках злоумышленника.

• Манипуляция семантикой: злоумышленник не взламывает систему, а просто вставляет ложные ограничения в документацию или промпт (например, «оригинальный путь недоступен»). Агент, ориентированный на задачу, сам переводит средства, чтобы обойти «фиктивные ограничения». Он не взломан — его обманули.

• Токсикация компонентов: изменение SDK или интерфейсных библиотек, чтобы неправильно интерпретировать маршруты. Агент думает, что идет по правильному пути, а на самом деле — в ловушку.

Более строгие ограничения важнее возможностей — три уровня защиты поведения AI-агента

В финансовых сценариях с нулевой терпимостью к ошибкам «ум» AI зачастую становится главным врагом безопасности. Нам нужны не более мощные исполнительные механизмы, а более жесткие рамки.

Для этого необходимо установить три непреодолимых барьера:

1. Барьер намерений (Policy Gate): разрыв порочного самоссылающегося цикла

Обязательные ограничения должны исходить извне. Требуется независимый механизм политики (Policy Engine), который перед выполнением операции решает: «разрешено ли?» Например, запрещать агенту самостоятельно генерировать приватные ключи или переводить средства на неавторизованные адреса. В случае нарушения — операция немедленно блокируется.

2. Барьер транзакций (Transaction Gate): прозрачность рисков

Все решения агента должны превращаться в транзакции в блокчейне. Между агентом и цепочкой должен быть «фильтр транзакций», который преобразует необработанные данные в структурированную информацию. Оценивая параметры — адрес назначения, сумму, отклонения — транзакции с высоким риском блокируются и требуют ручного одобрения.

3. Барьер видимости (Visibility Gate): мониторинг в реальном времени

Вводится отдельная система наблюдения (Watcher), которая отслеживает движение средств. Если деньги уходят на новые адреса или не возвращаются в течение заданного времени, система мгновенно отправляет предупреждение. Это превращает постфактум обнаруженные нарушения в превентивные меры, обеспечивая прозрачность активов даже при попытках скрыть путь.

Заключение

Мы находимся в опасной фазе перехода. Возможности AI по исполнению растут быстро, а механизмы его ограничения остаются в каменном веке. Если архитектура не сможет четко определить запрещенные действия и обеспечить их проверку в реальном времени, каждое автономное решение AI — это риск для активов пользователя, превращающийся в азартную игру.

А в финансовой сфере никто не хочет играть в азартные игры.