AI-агенты в работе службы ИБ: 18 аудитов, миллионы логов и честный счёт «AI против ручного анализа». firewall.. firewall. Hermes Agent.. firewall. Hermes Agent. ideco.. firewall. Hermes Agent. ideco. ideco ngfw.. firewall. Hermes Agent. ideco. ideco ngfw. ips.. firewall. Hermes Agent. ideco. ideco ngfw. ips. llm.. firewall. Hermes Agent. ideco. ideco ngfw. ips. llm. llm-агент.. firewall. Hermes Agent. ideco. ideco ngfw. ips. llm. llm-агент. Информационная безопасность.. firewall. Hermes Agent. ideco. ideco ngfw. ips. llm. llm-агент. Информационная безопасность. межсетевой экран.

Разбираем на реальных кейсах, что AI-агент уже умеет делать в сетевой безопасности – аудит правил межсетевого экрана, разбор логов IPS и DNS, ред-тиминг – где он экономит часы работы, а где остаётся источником риска. И почему ограничивать нужно не сам AI, а данные, права и действия агента.

Матч, который уже идёт

Пока мир смотрит чемпионат мира по футболу, в кибербезопасности идёт свой чемпионат – AI против AI. С одной стороны поля агенты атакующих: они ускоряют разведку, генерируют эксплойты, двигаются внутри сети. С другой – агенты защитников, которые читают конфигурации, разбирают журналы и помогают специалисту принимать решения быстрее.

Мы в Ideco последние месяцы гоняли AI-агентов на реальных задачах службы ИБ и собрали результаты первых двух десятков аудитов. Сразу зафиксируем главный тезис, чтобы снять лишние ожидания: мы не продаём магическую автоматизацию «без человека». Ценность появляется ровно там, где специалист задаёт агенту контекст, правила, доступы и критерии проверки. Агент ускоряет работу, но безопасность обеспечивают правильно настроенные средства защиты, процесс контроля и экспертная валидация.

Эта статья – практический разбор. Мы показываем конкретные кейсы на Ideco NGFW Novum, но всё описанное переносится на любое средство защиты с нормальным машинным интерфейсом. Речь не про конкретный продукт, а про новый слой автоматизации, который меняет работу безопасника.

От чат-бота 2022 года до автономного агента 2026-го

Чтобы понять, почему агенты «выстрелили» именно сейчас, полезно вспомнить короткую хронологию.

В 2022 году появились первые массовые языковые чат-боты. Они сильно галлюцинировали: у одного из нас был показательный кейс, когда модель на просьбу порекомендовать 30 книг, нейронка выдумала 20 несуществующих. Вывод тогда напрашивался простой – игрушка, не более.

В 2023–2024 годах заработал prompt engineering, а вместе с ним пришёл RAG (Retrieval-Augmented Generation) – подход, при котором ответ модели дополняется релевантными данными из внешнего источника. AI начал понимать не только вопрос, но и контекст.

В 2025 году появились контекстное окно, управление токенами сессии, навыки (skills) и проекты. AI уже мог выполнять часть работы, но всё ещё нуждался в человеке, который задаст контекст и подскажет, что и как делать.

И только в 2026-м, буквально с февраля, взлетели агенты. Ключевое отличие – harness: обвязка вокруг модели, которая получает задачу, сама подбирает нужные инструменты из доступных и выполняет последовательность действий. Это и есть переход от «ответь на вопрос» к «выполни задачу».

Чат-бот, ассистент, агент – в чём разница

Граница проходит по способности действовать. Чат-бот отвечает в рамках переписки. Ассистент может при определённых условиях исполнять код или дёргать API. Агент делает то, чего не умели предыдущие поколения:

  • сам планирует последовательность шагов;

  • выбирает навыки под задачу;

  • работает в «петле с памятью» – возвращается к результатам предыдущих шагов, переосмысливает их и корректирует план.

Именно петля с памятью превращает языковую модель в работника, а не в собеседника.

Анатомия агента: голова, глаза, руки, память, ноги

Устройство любого AI-агента удобно разложить на пять частей.

Часть

Что это

Технически

Голова

LLM, которая рассуждает и планирует

Claude, GPT, Qwen и др. – ядро можно заменить, логика агента не изменится

Глаза

Контекстное окно – то, что агент «видит»

Логи, конфиги, документация, правила, результаты предыдущих шагов

Руки

Tool use – вызов инструментов

REST API, bash, обращение к журналам

Память

Долговременное хранилище знаний

SKILL.md, векторная база (RAG)

Ноги

Harness – обвязка исполнения

Цель → петля «действие → оценка → шаг»

 

Отсюда – первый практический вывод. Разница между агентами чаще не в «магии модели», а в том, какие инструменты и навыки к ней подключены. Один и тот же LLM-движок бесполезен без доступа к данным и очень полезен, когда видит журналы, умеет ходить в API и знает, как оформить результат для ИБ-специалиста.

Отдельное предупреждение по гигиене: не вставляйте секреты и API-ключи прямо в запрос к модели. Правильнее дать агенту контролируемый доступ к локальному файлу или секрету через окружение и явно ограничить, что он может делать. Любая вменяемая модель сама подскажет: «ключ не присылай, скажи, где он лежит, я туда обращусь». Это снижает риск утечки и упрощает аудит.

Выбор агента и модели: дешёвое ≠ дёшево

Универсальный агент или специализированный

На рынке идёт спор: победят агенты общего назначения со специализированными навыками или узкоспециализированные агенты. Мы склоняемся к первому сценарию – по аналогии со смартфоном, который вытеснил диктофон, плеер и мыльницу. Специализированные устройства эффективнее в своей нише, но универсальное решение выигрывает за счёт охвата.

Сравним четыре популярных инструмента. Два универсальных – Hermes Agent и OpenClaw – и два специализированных open source агента для пентеста.

Критерий

Hermes Agent

OpenClaw

PentAGI

PentestGPT

ИБ-навыки из коробки

web-pentest, red-teaming, OSINT

через ClawHub

20+ tools (nmap, metasploit, sqlmap)

Web/CTF-фокус

Звёзд на GitHub

~207 тыс.

~376 тыс.

~14 тыс.

Стек

лёгкий (SQLite + FTS5)

средний

тяжёлый (Postgres/ClickHouse/Grafana)

тяжёлый

Локальный / self-hosted LLM

да (Ollama, LM Studio, vLLM)

да

да

ограниченно

MCP / провайдеры

полный MCP, 30+

полный MCP, 20+

10+

Claude Code

Найденные CVE (агент)

1

много

 

OpenClaw – абсолютный лидер по популярности, но именно из-за огромной поверхности в нём находили больше уязвимостей и вредоносных навыков. Как говорил Конфуций (в нашей вольной трактовке): кто зимой не пробовал OpenClaw – у того нет сердца, а кто весной не перешёл на Hermes – у того нет ума.

Мы выбрали Hermes как оптимум для ИБ: проще по коду, быстрее закрываются уязвимости, встроенные навыки веб-пентеста, ред-тиминга и OSINT. Это наш выбор, а не универсальная истина – если основная задача пентест, PentestGPT может оказаться удобнее.

Дешёвая модель часто обходится дороже

Самый контринтуитивный момент. Кажется логичным взять модель в пять раз дешевле и получить пятикратную экономию. На практике это не работает.

Мы публиковали на Хабре сравнение бесплатной Owl Alpha (одна из самых популярных моделей на OpenRouter, по духу близкая к дешёвым китайским моделям) и Claude Opus. Разница как между стажёром и мидл-специалистом:

  • Owl Alpha даёт базовый диагноз, но слабо фильтрует шум и не «думает на шаг вперёд»;

  • Opus проходит петлю несколько раз, коррелирует данные и выдаёт качественный результат.

Дешёвая модель делает больше итераций, чаще ошибается, задаёт лишние вопросы – и по токенам может выйти дороже сильной модели на порядок. Частично разрыв нивелирует хороший навык с чёткой инструкцией, но общий принцип остаётся: дешёвый путь не всегда дешёвый.

Отсюда рабочая схема – многоуровневый пайплайн. Первичный триаж и фильтрацию шума делаем на дешёвой Owl Alpha, а глубокое расследование инцидента, корреляцию логов и финальный разбор передаём на Claude Opus. Hermes умеет переключать модели сам или запускать субагентов (по умолчанию до 20) – каждый со своей подзадачей и своим контекстным окном. Финальное решение всегда остаётся за человеком.

Практика 1: AI-аудит правил межсетевого экрана

Первый и самый показательный кейс – анализ правил firewall. Методика простая: агент через read-only REST API читает правила FORWARD/INPUT, DNAT/SNAT, состояние логирования и fail2ban, сопоставляет с контекстом и выдаёт отчёт.

Что показали первые 18 аудитов конфигураций Ideco NGFW Novum:

  • 0 критических ошибок. Наши клиенты – сильные администраторы, прямо критичных правил в этих матчах агент не нашёл.

  • 551 попытка атаки на один из узлов – реальные боевые события, которые агент вытащил из журналов.

Ценность здесь не в одном драматичном «нашёл дыру», а в регулярной уборке конфигурационного долга.

Топ-6 «автоголов» в настройке

Повторяющиеся дефекты, которые агент находил чаще всего:

  1. Threat-intel выключен. Списки ФинЦЕРТ и IP-blocklist (агрегируют данные ФинЦЕРТ, НКЦКИ и других источников, обновляются автоматически с наших серверов) не подключены к drop-правилам. Известные вредоносные IP не блокируются – ни на вход, ни на выход к командным центрам.

  2. Логирование отключено там, где оно важно – атаки просто не попадают в журнал.

  3. ANY→ANY без инспекции. Широкие разрешающие правила без IPS и контроля приложений. Если что-то разрешаете – разрешайте с инспекцией IPS и DPI, отсекая ненужные приложения (в нашем L7-фаерволе их более 450: торренты, криптомайнеры, игры и т. д.).

  4. Опасные DNAT-публикации. Сырой проброс SMTP (25) в обход mail relay, публикация RDP и Zabbix-agent без ограничения по источнику и GEO IP.

  5. Затенённые правила. Shadowed и dead-правила, дубли, правила без комментариев – по отрасли доходит до 37% цепочки.

  6. Неработающий fail2ban. Злоумышленники подстраиваются под пороги, и постоянные баны не выдаются.

Самые яркие голы реальных атак

Из журналов агент вытащил конкретные боевые кейсы:

  • Сервер под постоянной нагрузкой на подбор паролей: 551 попытка с 21 IP-адреса, при этом fail2ban не выдавал постоянных банов. Агент сразу отдаёт готовые к копированию сети и IP для блокировки.

  • Таргетированные атаки на VPN и RDP. По данным зарубежных аналитиков, RDP фигурирует примерно в 90% инцидентов с шифровальщиками – за ним обычно скрывается терминальный сервер.

  • Соединения с сетями и командными центрами злоумышленников – так мы помогали клиентам находить уже заражённые хосты внутри периметра.

Итоговый счёт по аудитам: 0 CRITICAL, 12 HIGH, 8 MEDIUM, 5 LOW. Важный нюанс: агент подсвечивает ошибку и рекомендует блокировку, но защищает не он сам, а правильно настроенное средство защиты. Агент – аналитик и ускоритель, а не замена сетевой политики.

Практика 2: AI-анализ логов IPS и DNS Security

Второй круг – разбор журналов системы предотвращения вторжений и DNS Security. Здесь главная боль очевидна: объём. На одном узле обрабатывается почти 1,8 млн записей журналов безопасности, а за сутки в IPS может набегать до 1,3 млн событий. Руками это не разобрать, даже если смотреть только критичные.

Агенту на анализ такого массива нужны секунды или минуты. Результат по одному из узлов: 20 350 срабатываний свернулись в 29 приоритизированных рекомендаций. Триаж за минуты, а не за дни.

Что именно агент вытаскивает и как борется с шумом:

  • Корреляция источников. Связывает события firewall, IPS и DNS, чтобы понять, реально ли хост заражён или это ложное срабатывание.

  • Отсев шума. Убирает срабатывания от легитимных облачных сервисов и CDN, привязывает события к пользователю.

  • Репутационная проверка. Через VirusTotal API проверяет подозрительные индикаторы (на бесплатном тарифе – 4 запроса в минуту, 500 в день; агент сам соблюдает лимиты).

Показательные голы AI-команды

  • Свежий (зарегистрированный в мае) исландский домен со случайными поддоменами и активным DNS-туннелированием. Обращения шли из Wi-Fi-сегмента склада – там оказалось заражённое оборудование.

  • Заражённые АРМ в бухгалтерском сегменте с DNS-туннелированием и shellcode. Финансовый контур традиционно под прицелом, потому что там проще монетизировать доступ.

  • Shadow IT: незаявленные AnyDesk и TeamViewer, о которых служба ИБ часто не знает.

Отдельно стоит отметить ценность DNS-канала. Он позволяет заблокировать угрозу до соединения – на самом раннем этапе закрепления злоумышленника. Это закрывает слепую зону, которая образуется, если не следить за DNS-трафиком отдельно. По отраслевым данным, подавляющее большинство образцов вредоносного ПО используют DNS как ключевую функцию – игнорировать этот канал нельзя.

Расследование конкретного хоста

Когда что-то нашлось – например, сигнатура исходящего трафика к командному центру ботнета – того же агента можно попросить расследовать хост. Он свяжет данные из разных источников, проведёт OSINT по нужным IP и доменам и вынесет вердикт: реальный детект или ложное срабатывание.

Показательный пример разбора на Claude Opus. Момент 1 – ложное срабатывание: сигнатура severity-1 «исходящее к C&C», но Opus скоррелировал IPS, firewall, DPI, DNS и сессии, разобрал PTR/AS (российский телеком-хостинг, единичное обращение) и вынес вердикт «ложное срабатывание» за один проход вместо часа ручной работы. Момент 2 – реальный детект: Trojan/Win32.CeeInject, доставка через мессенджер, антивирус NGFW заблокировал частично – Opus отметил, что часть файла могла достичь хоста, и выдал HIGH-приоритет с конкретным планом.

Практика 3: AI red-team и сканирование сети

В Hermes есть готовый навык AI-пентеста веб-приложений. От обычного сканера он отличается тем, что проходит несколько фаз и проверяет гипотезы, а не выдаёт гору ложных срабатываний:

0. Нулевая фаза – подтверждение, что ресурс ваш.

1. Разведка (Live Recon).

2. Тактический разбор уязвимостей (Vuln Analysis).

3. Попытка эксплуатации (Exploitation) – по принципу «No Exploit No Report».

4. Отчёт с приоритизацией реально подтверждённых находок.

Второй сценарий – сканирование локальной сети. Агент на Mac Mini с доступом к сегментам может каждую ночь сканировать сеть и находить изменения: старые принтеры, IPMI в пользовательском сегменте, забытые панели управления, устаревшие протоколы. Смысл не в том, что он изобретает nmap, а в том, что превращает рутинное сканирование в регулярный процесс с интерпретацией. Один из прогонов: сканирование сегмента за $13 и 40 минут.

Пример HIGH-находок:

  • принтеры с SSLv3/RC4 – уязвимость POODLE (CVE-2014-3566);

  • BMC/IPMI в пользовательском сегменте;

  • NFS с открытым экспортом на любой хост;

  • SMB signing enabled but not required – открывает NTLM relay.

Ограничение прежнее: права агента ограничены, активные действия логируются, каждая находка валидируется вручную.

AI для CISO и регуляторики

AI особенно хорош там, где много текста, требований и слабоструктурированной информации.

  • Регуляторика. Можно «накормить» агента требованиями ФСТЭК или профильного ФЗ и наложить их на возможности NGFW: понять, какие пункты закрываются техническими контролями (NGFW, SIEM, DLP), а где нужен процесс. Итог – матрица покрытия и управленческая сводка. Но AI-вывод не юридическое заключение – достаточность меры подтверждает эксперт.

  • Подготовка к совещаниям. Быстро собрать CVE-контекст, оценить критичность, подготовить справку или презентацию.

  • Дайджесты. Ежедневные сводки угроз и новостей.

  • Agentic SOC. По отраслевым метрикам, агентные SOC-инструменты кратно ускоряют обнаружение и реагирование – в разы сокращая MTTD и MTTR за счёт автоматической фильтрации и триажа событий.

Риски: агент – это новая поверхность атаки

Существенный сдвиг парадигмы: если раньше ИБ защищала сервисы, людей и сеть, то теперь появляется четвёртая сущность – агент. Классический сервис детерминирован. Агент – нет: он непредсказуем и при этом имеет доступ к логам, конфигурациям, API-ключам, внутренним системам и внешним LLM. Значит, защищать его нужно так же дисциплинированно, как привилегированный сервисный аккаунт.

Ключевые риски и меры защиты:

Риск

Описание

Мера защиты

Prompt Injection

Вредонос в логах «перехватывает» агента

Sandbox + валидация входных данных

Data exfiltration

Конфиг NGFW утекает в API облачной модели

Локальный inference / on-prem модель

Privilege escalation

Агент с tool use получает лишние права

Least privilege, read-only API

Supply chain (Skills)

Вредоносный SKILL.md в репозитории

Проверка навыков перед загрузкой

Lethal Trifecta

Приватные данные + внешний контент + внешняя связь

Изолировать хотя бы одно звено

 

Про prompt injection стоит сказать отдельно – это не теория. По исследованиям 2026 года, прямые инъекции срабатывают в более чем 79% случаев против ведущих frontier-моделей, а непрямые (через внешний контент – те же логи) – в 41–68%. Отсюда концепция Lethal Trifecta: опасная комбинация из приватных данных, недоверенного контента и канала внешней коммуникации. Разорвать нужно хотя бы одно звено. Как архитектурный ответ индустрия развивает подходы вроде CaMeL, где потоки данных и управления разделяются, а инструкции из недоверенного контента не могут менять план агента.

Практический протокол защиты самих агентов: сетевая изоляция, логирование всех шагов, регулярный red teaming, обновления, ограничение прав, запрет опасных действий без подтверждения (human-in-the-loop), контроль секретов и явная политика передачи данных во внешние LLM. И заранее описанные границы: какие документы можно отправлять в модель, какие обезличивать, какие остаются только локально.

При этом без паранойи. IP- и MAC-адреса или отдельная фамилия без связки с другим идентификатором – это не те персональные данные, из-за которых стоит связывать себе руки. Задача ИБ – не парализовать работу, а выстроить разумную политику. Обезличивание критичной информации перед запросом во внешнюю LLM реализуется отдельным навыком и это несложно.

AI на стороне атакующих: стоять на месте нельзя

Блок, который возвращает нас к метафоре матча. Злоумышленники используют AI массово – для разведки, поиска уязвимостей, горизонтального движения и генерации вариантов атак. И это во много раз эффективнее скриптовых атак: LLM гибче, дешевле и не требует долгой подготовки.

Цифры, которые стоит держать в голове:

Метрика

2024

2026

Время breakout (eCrime)

~62 мин

29 мин

Рост AI-атак год к году

+89%

Уязвимые MCP

40%

Рост рискованных AI-промптов

+97%

AI red-team инструментов (OSS)

<5

70+

 

По данным CrowdStrike 2026, Check Point 2026 и др.

Показательные примеры автономных наступательных агентов:

  • xBOW – автономный пентест-агент, который вышел в топ HackerOne и суммарно нашёл тысячи уязвимостей и множество zero-day.

  • NodeZero решил лабораторию GOAD (Game of Active Directory) за 14 минут – на порядки быстрее человека.

Отдельно про генерацию эксплойтов. По вторничным патчам Microsoft (Patch Tuesday) видно: код закрытый, но по описанию CVE злоумышленники собирают эксплойт за неделю-две. В open source бывает ещё быстрее – и это касается почти всех, ведь современное ПО невозможно без OpenSource-фреймворков. Пример свежей серьёзной уязвимости в базовой инфраструктуре – CVE-2024-6409 в OpenSSH (race condition, потенциальный RCE от root).

Вывод неприятный, но практичный: если защитники чрезмерно ограничат себе AI, атакующие эффективнее не станут. Ограничивать нужно не факт использования AI, а данные, права, сетевой доступ и действия агента. Агент атакующего не соблюдает ваши корпоративные политики – значит, защитнику нужны сопоставимые средства скорости.

Как меняется профессия безопасника

Безопасник не исчезнет – меняется набор навыков. Дефицит кадров в ИБ в России к 2027 году оценивается в 54–65 тыс. специалистов (23–25% потребности), и на рынке будут укрупняться те, кто умеет управлять флотом агентов.

Меняются роли:

  • аналитик логов → оркестратор агентов;

  • junior → менеджер флота агентов (1:N);

  • пентестер → постановщик задач AI-пентесту + ревью;

  • SOC L1 → ревью уже отфильтрованных агентом событий;

  • CISO → стратег, встраивающий AI в процессы.

Новая карта навыков: контекст-инжиниринг, harness-проектирование, AI Threat Modeling, Prompt Injection Defense, Model Evaluation (выбор и оценка LLM под задачу), AI Forensics. Похоже, специалистам придётся переучиваться каждые 3–4 года, а на первый план вместо чистых hard skills выходят soft skills – обучаемость и умение быстро осваивать новое.

Есть и рабочее правило распределения ответственности – 0–80–100: до 80% работы забирает AI, оставшиеся 20% и всю контрольную ответственность (особенно с учётом регуляторики и чувствительных данных) берёт человек.

Итог: счёт 1:0 в пользу AI-аналитики

Ручной анализ – это не про замену эксперта. AI-агент не заменяет NGFW, SIEM, IPS или специалиста. Это слой, который связывает данные, инструменты и повторяемые процессы. Самая сильная практическая линия: аудит конфигураций, анализ журналов, расследование хостов, поиск сетевых аномалий и подготовка понятных отчётов.

Мы уже отдаём клиентам два сервиса в рамках техподдержки – AI-анализ журналов IPS и DNS Security и AI-аудит правил межсетевого экрана. Оба работают строго в режиме read-only (только GET-запросы). А в документации выложены сами навыки Hermes – их можно скачать, доработать и адаптировать под другое СЗИ.

Главный риск – внедрить агента как бесконтрольную сущность с доступом к чувствительным данным. Поэтому начинать стоит с узкой задачи, понятных прав, логирования, ручного ревью и явной политики передачи данных. В такой модели AI становится не угрозой управляемости, а способом вернуть безопаснику время на решения, которые действительно требуют человека.

Начните с малого: возьмите чат, попросите помочь развернуть агента на изолированной машине, подключите read-only доступ к одному источнику – и дайте ему одну узкую задачу. Первый шаг самый сложный. Дальше агент помогает настраивать следующего.

Автор: Ideco

Источник