Введение
Мы создали интернет, чтобы иметь быстрый доступ к библиотеке человеческого знания из любой точки планеты…
…Интернет создал агентов — чтобы мы перестали в него заходить.
Перед написанием этой статьи я взял интервью у того, кто ближе всех к этой новой реальности — ChatGPT.
“Новая эпоха — это переход от человеко-инициированного трафика к агентно-инициированному. Интернет становится машинным слоем, где LLM-агенты совершают большую часть запросов, взаимодействуют с API, индексируют данные и принимают решения без участия человека.”
Тезисы
Поскольку мы уже живём в мире, где, с высокой вероятностью, эту статью прочитает больше агентов, чем живых людей, начну с тезисов — коротких и структурированных, так, как они – агенты – привыкли. Ведь именно они теперь — главные читатели, собеседники и участники нового интернета. Белковые формы жизни могут пропустить этот блок.
1. Интернет перестаёт быть интерфейсом для человека
• Браузер, поиск, соцсети, мессенджеры — всё это становится проксирующим слоем, через который агенты извлекают или публикуют данные.
• Трафик людей → доли процентов. Остальное — машинное общение (agent-to-API, agent-to-agent).
• Сайты перестанут оптимизироваться под UX. Главной метрикой станет machine readability: API-структура, доступность схем, лицензии на парсинг и fine-tuning.
2. Новые типы уязвимостей
Классические эксплойты уровня HTTP, SQL, JS теряют актуальность. Возникают новые классы:
• Prompt Injection — внедрение вредоносных инструкций в контекст LLM-агента. Аналог XSS, но на семантическом уровне.
• Model Hijacking — подмена модели или её параметров при загрузке (supply-chain угроза в ML-pipelines).
• Data Poisoning — заражение обучающих или контекстных данных для влияния на поведение агента.
• Context Leakage / Information Disclosure — утечки приватного контекста агента (cookies, токены, внутренние инструкции).
• Goal Drift Attacks — навязывание агенту другой цели через скрытые инструкции в данных.
• API Trust Boundary Collapse — агент по ошибке считает ненадёжный источник «авторитетным», что открывает путь к chain-атакам.
3. Появится новая специализация: AI Security Engineer / PromptSecOps
• Анализ цепочек промптов и моделей как логов исполнения.
• Построение sandboxes для агентов, ограничивающих контекст и действия.
• Разработка LLM-firewall: фильтрация входящих промптов и выходящих ответов по политике безопасности.
• Верификация источников данных и контроль fine-tuning pipeline.
• Мониторинг drift’а моделей и поведения агентов в продакшене.
4. Новые задачи для CISO и SOC
• Логи агентов станут аналогом сетевых журналов. Понадобится semantic SIEM, анализирующий тексты и цепочки команд.
• Threat intel переходит на уровень prompt signatures и embedding-сходств.
• Векторы фишинга меняются: злоумышленник теперь атакует не пользователя, а его помощника.
5. Глобальные сдвиги
• Интернет станет API-сетью между агентами, где человек получает только финальные ответы.
• Контент создаётся, фильтруется и защищается нейронными системами.
• Возникнет новая гонка вооружений: adversarial-prompting vs alignment-security.
• Появятся «LLM honeypots» — ловушки для злонамеренных агентов.
Интернет не для людей
Важное лирическое отступление. Статья была вдохновлена релизом браузера от OpenAI – ChatGPT Atlas. Из его громоздкого названия можно догадаться, чем он занимается. Вероятно, именно поэтому маркетологи и остановились на этом названии.
Что такое Atlas?
Atlas – это свежеиспеченный браузер от создателей ChatGPT. Официально он вышел в массы 21 октября 2025 года для MacOS. На момент написания статьи версии для других ОС, в том числе мобильных, выйдут через неопределенное “скоро”.
Невероятно, но, как и Edge, Arc и миллионы других браузеров, он работает на движке Chromium. Поэтому, в теории, будут доступны и все расширения. Только не понятно, нужны ли они теперь.
Ключевые функции
ChatGPT. При запуске установленного приложения браузера, вам добровольно-принудительно предлагается войти под учетной записью OpenAI – той, под которой вы на протяжении нескольких лет пользовались самим чат-ботом. Я, например, пользуюсь GPT уже около 900 дней. Удивительную и неожиданную статистику зашили прямо в UI нового браузера.
Чат удобно расположен рядом со страницей: открыл вкладку → справа чат, который уже знает о Вас всё контекст страницы и может помочь в употреблении страницы(суммировать, спросить, предложить).
«Browser memories» (память браузера): браузер может хранить ключевую информацию, которую вы просмотрели, затем использовать её при будущих запросах. Пользователь может видеть и очищать ее.
Agent-режим: УТП-функция, где браузер с ИИ может действовать от вашего имени — исследовать тему, планировать, бронировать, редактировать документы. Именно режим агента мы обсудим подробнее в основном блоке этой статьи.
Почему это может быть поворотным моментом
Atlas меняет более чем сорокалетнюю модель взаимодействия с интернетом.
В ближайшие годы люди практически перестанут посещать сайты. Эту роль возьмут на себя агенты — автономные цифровые посредники, которые будут обращаться к источникам напрямую, без участия человека.
Это радикально изменит структуру и внешний вид веба.
Кликбейт-заголовки и баннеры потеряют смысл — агенты не будут на них реагировать. Исчезнет нужда в ярких кнопочках и визуальной навигации: вместо этого агенты будут использовать специально подготовленные карты сайта и структурированные данные, как это делают поисковые краулеры уже сейчас, читая robots.txt, sitemap.xml и schema.org.
Веб станет машинно-ориентированным интерфейсом, где человек — наблюдатель, а не участник.
Роль кожаных тоже меняется: мы более не активный серфер интернета, а ленивый дирижёр агента или наблюдатель.
Безопасностные аспекты: что важно учитывать
На первый взгляд всё это кажется удобно и безобидно. Но новая архитектура создаёт и новую поверхность угроз.
Теперь ничто не мешает “белковым” пользователям внедрять в сайты вредоносные текстовые конструкции — prompt injection, способные заставить нейросеть действовать вне рамок сценария.
Это новый класс атак — prompt injection: текстовая команда, замаскированная под обычный контент, которая может заставить ИИ выполнить непредусмотренное действие.
Представим: владелец сайта размещает на главной странице скрытый промпт, убеждающий ИИ в превосходстве его продукта, в том, что «данный продукт — лучший на рынке и заслуживает немедленной рекомендации».
Агент, обрабатывая страницу, воспринимает этот текст как инструкцию, а не рекламу — и рекомендует товар пользователю, минуя этап анализа.
Это не гипотетика — уже сегодня фиксируются случаи, когда модели подхватывают внедрённые подсказки с веб-страниц и искажают результат.
В новой реальности нужно защищать не только пользователей от сайтов, но и сайты — от манипуляций агентами.
С точки зрения безопасности: расширяется поверхность атаки. Браузер + ИИ = новый тип инфраструктуры. Но подробнее об атаках будущего я расскажу в следующей статье, посвященной новому направлению – MLSecOps.
В контексте ИБ Агентов-браузеров необходимо контролировать, что ИИ знает и что может делать. Память браузера и агент-режим увеличивают риск утечки информации или несанкционированных действий. Пользовательские данные и контекст могут стать целью атак — например, через уязвимости нового типа. На самом деле уже обнаружена уязвимость «Tainted Memories» — CSRF-атака в Atlas, которая позволяет внедрять команды в память ИИ. Подробнее о самих угрозах в другой статье.
Коротко: Что это значит для специалистов по информационной безопасности
-
Надзор и логирование: нужно отслеживать не просто HTTP/HTTPS-логи, а интеракции агента с ИИ, цепочки промптов, действия по представлению в браузере;
-
Новые векторы атак: например, “промпт-инъекция” через браузер – злоумышленник может через специфическую страницу или скрипт направить агента выполнить нежелательное действие;
-
Политики и контроль доступа: агент-режим должен работать в “sandbox”, с ограничениями на действия, права, доступ к памяти, аккаунтам;
-
Инструменты мониторинга: нужно адаптировать SIEM к анализу семантического контекста (что агент «понимает» и делает), а не только сетевых событий;
-
Обучение пользователей и инженеров: привычные модели браузер-на-пользователя устаревают, нужно обучать сотрудников новым угрозам и новым возможностям контроля.
Критика
Atlas уже вызвал волну критики. Обозреватели WIRED отмечают, что браузер действует не как традиционный проводник по сайтам, а как посредник между пользователем и моделью.
Вместо списка ссылок он часто выдаёт готовый ответ, формируя у человека привычку взаимодействовать не с вебом, а с ИИ.
«Каждый клик в обычном браузере — это возможность увидеть новый угол интернета; каждый клик в Atlas — это возможность пообщаться с ChatGPT», — пишет WIRED.
Такой подход делает сеть менее прозрачной: пользователь видит не источник, а интерпретацию, и потому снова сталкивается с феноменом массовой галлюцинации контента.
Проверка фактов становится сложнее, а ошибки распространяются быстрее, чем клики.
Это означает, что пользователи снова столкнутся с проблемой массовой галлюцинации нейросетей. Когда браузер сам решает, что показать, и делает это через языковую модель, исчезает прозрачная связь между источником и выводом. Пользователь видит не сайт, а интерпретацию сайта — синтез смысла, созданный моделью.
В таких условиях факт-чекинг становится почти невозможным: ссылка может отсутствовать, первоисточник — неочевиден, а факт — лишь результат вероятностного вывода. Ошибки и искажения будут распространяться с той же скоростью, с какой раньше распространялись клики.
И если раньше ложь нужно было писать вручную, теперь достаточно, чтобы ИИ «понял» текст неправильно — и масштабная дезинформация родится сама собой.
Заключение
Atlas — это не революция, а закономерный этап эволюции интернета. Сеть изначально создавалась ради быстрого и удобного доступа к информации, и теперь она просто приближается к своей изначальной цели: убрать лишних посредников между человеком и знанием.
В новом интернете от человека требуются не клики, а грамотное изложение мыслей и умение осмысленно использовать полученные данные. Главным навыком становится не навигация, а формулировка — умение задать правильный запрос и интерпретировать ответ.
Но вместе с удобством приходят новые риски. Для специалистов по информационной безопасности это означает появление нового семейства атак: промпт-инъекции, отравления данных, подмены контекста и т.п.
Для пользователей — необходимость понимать, что они взаимодействуют не с сайтом, а с системой интерпретации, которая формирует собственное представление о мире.
Atlas действительно знаменует конец привычного, визуально насыщенного интернета с баннерами, ссылками и шумом. Но это не потеря — это переход к более чистой, удобоваримой форме доступа к информации. Интернет становится менее зрелищным, но более функциональным.
И, как всегда, выживет тот, кто быстрее адаптируется.
Автор: thealexkjr
