Četiri odvojene ključne riječi RSAC-a 2026 došle su do istog zaključka bez koordinacije. Vasu Jakkal iz Microsofta rekao je prisutnima da se nulto povjerenje mora proširiti na AI. Jeetu Patel iz Cisca pozvao je na prijelaz s kontrole pristupa na kontrolu radnji, rekavši u ekskluzivnom intervjuu za VentureBeat da se agenti ponašaju "više kao tinejdžeri, vrhunski inteligentni, ali bez straha od posljedica." George Kurtz iz CrowdStrikea identificirao je upravljanje umjetnom inteligencijom kao najveću prazninu u poslovnoj tehnologiji. John Morgan iz Splunka pozvao je na agentsko povjerenje i model upravljanja. Četiri tvrtke. Četiri faze. Jedan problem.
Matt Caulfield, potpredsjednik proizvoda za identitet i duo u Ciscu, otvoreno je to rekao u ekskluzivnom intervjuu za VentureBeat na RSAC-u. "Iako je koncept nultog povjerenja dobar, moramo napraviti korak dalje," rekao je Caulfield. "Ne radi se samo o autentifikaciji jednom i zatim puštanju agenta da divlja. Radi se o stalnoj provjeri i pažljivom ispitivanju svake radnje koju agent pokušava poduzeti, jer u bilo kojem trenutku taj agent može pogriješiti."
Prema podacima, 79 posto organizacija već koristi AI agente PwC-ovo istraživanje AI agenta za 2025. Samo 14,4% izvijestilo je o potpunom sigurnosnom odobrenju za njihovu cjelokupnu agentsku flotu, prema Gravitee State of AI Agent Security izvješće 2026 od 919 organizacija u veljači 2026. A CSA anketa predstavljeno na RSAC-u pokazalo je da samo 26% ima politike upravljanja umjetnom inteligencijom. CSA-ov Agentic Trust Framework opisuje rezultirajući jaz između brzine postavljanja i sigurnosne spremnosti kao hitan slučaj upravljanja.
Čelnici kibernetičke sigurnosti i rukovoditelji industrije u RSAC-u složili su se oko problema. Zatim su dvije tvrtke isporučile arhitekture koje različito odgovaraju na to pitanje. Jaz između njihovih dizajna otkriva gdje leži pravi rizik.
Sadržaj objave
Problem monolitnog agenta koji sigurnosni timovi nasljeđuju
Zadani uzorak poslovnog agenta je monolitni spremnik. Model razmišlja, poziva alate, izvršava generirani kod i drži vjerodajnice u jednom procesu. Svaka komponenta vjeruje svakoj drugoj komponenti. OAuth tokeni, API ključevi i git vjerodajnice nalaze se u istom okruženju u kojem agent pokreće kod koji je napisao prije nekoliko sekundi.
Brza injekcija daje napadaču sve. Tokeni se mogu eksfiltrirati. Sesije se mogu stvoriti. Radijus eksplozije nije agent. To je cijeli spremnik i svaka povezana usluga.
The CSA i Aembit anketa od 228 IT i sigurnosnih stručnjaka kvantificira koliko je ovo i dalje uobičajeno: 43% koristi zajedničke račune usluga za agente, 52% se oslanja na identitete radnog opterećenja, a ne na vjerodajnice specifične za agente, a 68% ne može razlikovati aktivnost agenta od ljudske aktivnosti u svojim zapisima. Niti jedna funkcija nije tvrdila vlasništvo nad pristupom AI agenta. Sigurnost je rekla da je to odgovornost programera. Programeri su rekli da je to sigurnosna odgovornost. Nitko ga nije posjedovao.
CrowdStrike CTO Elia Zaitsev, u ekskluzivnom intervjuu za VentureBeat, rekao je da bi obrazac trebao izgledati poznato. "Mnogo toga kako agenti za osiguranje izgledaju bilo bi vrlo slično onome kako izgleda osiguranje visoko privilegiranih korisnika. Oni imaju identitete, imaju pristup temeljnim sustavima, razmišljaju, poduzimaju akcije," rekao je Zaitsev. "Rijetko će postojati jedno jedino rješenje koje je srebrni metak. To je strategija dubinske obrane."
Izvršni direktor CrowdStrikea George Kurtz istaknuo je ClawHavoc (kampanju opskrbnog lanca usmjerenu na agentski okvir OpenClaw) na RSAC-u tijekom svoje uvodne riječi. Koi Sigurnost imenovao je kampanju 1. veljače 2026. Antiy CERT potvrdio je 1184 zlonamjerne vještine povezane s 12 računa izdavača, prema višestruki neovisne analize kampanje. Snykovo istraživanje ToxicSkills otkrio je da 36,8% od 3984 skeniranih ClawHub vještina sadrži sigurnosne propuste na bilo kojoj razini ozbiljnosti, s 13,4% ocijenjenim kritičnim. Prosječno vrijeme prekida palo je na 29 minuta. Najbrže promatrano: 27 sekundi. (Izvješće o globalnoj prijetnji CrowdStrike 2026)
Antropik odvaja mozak od ruku
Agenti kojima upravlja Anthropicpokrenut 8. travnja u javnoj beta verziji, podijelio je svakog agenta u tri komponente koje ne vjeruju jedna drugoj: mozak (Claude i pojas koji usmjerava svoje odluke), ruke (jednokratni spremnici Linuxa u kojima se izvršava kod) i sesiju (zapisnik događaja samo za dodavanje izvan oba).
Odvajanje instrukcija od izvršenja jedan je od najstarijih obrazaca u softveru. Mikroservisi, funkcije bez poslužitelja i redovi poruka.
Vjerodajnice nikada ne ulaze u sandbox. Anthropic pohranjuje OAuth tokene u vanjski trezor. Kada agent treba pozvati MCP alat, on šalje token vezan za sesiju namjenskom proxyju. Proxy dohvaća stvarne vjerodajnice iz trezora, upućuje vanjski poziv i vraća rezultat. Agent nikada ne vidi stvarni token. Git tokeni povezuju se s lokalnim daljinskim upravljačem prilikom inicijalizacije sandboxa. Push and pull posao bez da agent dodirne vjerodajnicu. Za direktore sigurnosti to znači da kompromitirano sandbox ne daje ništa što bi napadač mogao ponovno upotrijebiti.
Sigurnosni dobitak stigao je kao nuspojava popravka performansi. Anthropic je odvojio mozak od ruku kako bi zaključivanje moglo započeti prije nego što se spremnik pokrene. Srednje vrijeme do prvog tokena pao otprilike 60%. Dizajn bez povjerenja također je najbrži dizajn. To ubija prigovor poduzeća da sigurnost dodaje kašnjenje.
Trajnost sesije treći je strukturni dobitak. Pad kontejnera u monolitnom uzorku znači potpuni gubitak stanja. U upravljanim agentima, zapisnik sesije ostaje izvan mozga i ruku. Ako se kabelski svežanj sruši, pokreće se novi, čita zapisnik događaja i nastavlja s radom. Nijedno izgubljeno stanje se s vremenom ne pretvara u povećanje produktivnosti. Upravljani agenti uključuju ugrađeno praćenje sesije kroz Claude Console.
Cijene: 0,08 USD po satu sesije aktivnog vremena izvođenja, vrijeme mirovanja isključeno, plus standardni troškovi API tokena. Direktori sigurnosti sada mogu modelirati kompromitiran trošak agenta po satu sesije u odnosu na trošak arhitektonskih kontrola.
Nvidia zaključava sandbox i nadzire sve u njemu
Nvidijin NemoClawobjavljen 16. ožujka u ranom pregledu, ima suprotan pristup. Ne odvaja agenta od njegove izvršne okoline. Omotava cijelog agenta unutar četiri naslagana sigurnosna sloja i promatra svaki pokret. Anthropic i Nvidia su jedina dva dobavljača koji su javno isporučili arhitekture agenata s nultim povjerenjem od pisanja ovog teksta; drugi su u razvoju.
NemoClaw slaže pet slojeva provedbe između agenta i glavnog računala. Izvršenje u sandboxu koristi Landlock, seccomp i izolaciju mrežnog prostora naziva na razini kernela. Zadano odbijeno izlazno umrežavanje prisiljava svaku vanjsku vezu putem izričitog odobrenja operatera putem Politika temeljena na YAML-u. Pristup radi s minimalnim privilegijama. Usmjerivač privatnosti usmjerava osjetljive upite na lokalno pokrenute Nemotron modele, smanjujući troškove tokena i curenje podataka na nulu. Sloj koji je najvažniji sigurnosnim timovima je provjera namjere: mehanizam za politiku OpenShell presreće svaku radnju agenta prije nego što dotakne host. Kompromis za organizacije koje procjenjuju NemoClaw je jednostavan. Bolja vidljivost tijekom rada košta više operatera.
Agent ne zna da je unutar NemoClaw. Radnje unutar pravila vraćaju se normalno. Radnje izvan pravila dobivaju konfigurabilno odbijanje.
Uočljivost je najjači sloj. Korisničko sučelje terminala u stvarnom vremenu bilježi svaku radnju, svaki mrežni zahtjev, svaku blokiranu vezu. Revizijski trag je završen. Problem je trošak: opterećenje operatera raste linearno s aktivnošću agenta. Svaka nova krajnja točka zahtijeva ručno odobrenje. Kvaliteta promatranja je visoka. Autonomija je niska. Taj omjer brzo postaje skup u proizvodnim okruženjima koja pokreću desetke agenata.
Trajnost je jaz o kojem nitko ne govori. Stanje agenta ostaje kao datoteke unutar sandboxa. Ako pješčanik propadne, s njim ide i država. Ne postoji mehanizam za oporavak vanjske sesije. Dugotrajni zadaci agenta nose rizik trajnosti koji sigurnosni timovi moraju uračunati u planiranje implementacije prije nego što krenu u proizvodnju.
Razmak u blizini vjerodajnica
Obje su arhitekture pravi korak naprijed u odnosu na monolitne zadane postavke. Ono gdje se razlikuju je pitanje koje je najvažnije sigurnosnim timovima: koliko su vjerodajnice blizu izvršnog okruženja?
Anthropic u potpunosti uklanja vjerodajnice iz radijusa eksplozije. Ako napadač ugrozi sandbox putem brzog ubrizgavanja, dobiva spremnik za jednokratnu upotrebu bez tokena i trajnog stanja. Eksfiltracija vjerodajnica zahtijeva napad s dva skoka: utječete na razmišljanje mozga, a zatim ga uvjerite da djeluje kroz spremnik u kojem nema ništa vrijedno krađe. Eksfiltracija s jednim skokom je strukturno eliminirana.
NemoClaw ograničava radijus eksplozije i prati svaku akciju unutar njega. Četiri sigurnosna sloja ograničavaju bočno kretanje. Zadano zabrani umrežavanje blokira neovlaštene veze. Ali agent i generirani kod dijele isti sandbox. Nvidijin usmjerivač privatnosti čuva vjerodajnice za zaključivanje na hostu, izvan sandboxa. No tokeni za razmjenu poruka i integraciju (Telegram, Slack, Discord) umetnuti su u sandbox kao varijable okruženja za izvođenje. Ključevi API-ja za zaključivanje proksiju se putem usmjerivača privatnosti i ne prosljeđuju se izravno u sandbox. Izloženost se razlikuje ovisno o vrsti vjerodajnice. Vjerodajnice su ograničene pravilima, nisu strukturno uklonjene.
Ta je razlika najvažnija za neizravno brzo ubacivanje, gdje protivnik ugrađuje upute u sadržaj koji agent postavlja kao dio legitimnog rada. Otrovana web stranica. Manipulirani API odgovor. Sloj provjere namjere procjenjuje što agent predlaže učiniti, a ne sadržaj podataka koje vraćaju vanjski alati. Umetnute upute ulaze u lanac razmišljanja kao pouzdani kontekst. Uz blizinu izvršenja.
U antropičkoj arhitekturi, neizravna injekcija može utjecati na razmišljanje, ali ne može doći do trezora vjerodajnica. U arhitekturi NemoClaw, umetnuti kontekst nalazi se pored razmišljanja i izvršenja unutar zajedničkog sandboxa. To je najveći jaz između dva dizajna.
David Brauchler iz NCC grupe, tehnički direktor i voditelj AI/ML sigurnosti, zagovaraju gated agent arhitekture izgrađen na načela segmentacije povjerenja gdje AI sustavi nasljeđuju razinu povjerenja podataka koje obrađuju. Nepouzdan unos, ograničene mogućnosti. I Anthropic i Nvidia idu u tom smjeru. Ni jedno ni drugo ne stiže u potpunosti.
Revizija arhitekture bez povjerenja za AI agente
Revizijska mreža pokriva tri uzorka dobavljača u šest sigurnosnih dimenzija, pet radnji po retku. Destilira se na pet prioriteta:
-
Revizija svakog raspoređenog agenta za monolitni uzorak. Označite bilo kojeg agenta koji drži OAuth tokene u svom izvršnom okruženju. The CSA podaci pokazuje da 43% koristi zajedničke račune usluga. To su prve mete.
-
Zahtijevaj izolaciju vjerodajnica u zahtjevima za implementaciju agenta. Navedite hoće li dobavljač strukturalno ukloniti vjerodajnice ili ih propušta putem pravila. Obje smanjuju rizik. Smanjuju ga za različite količine s različitim načinima kvara.
-
Oporavak testne sesije prije proizvodnje. Ubijte sandbox usred zadatka. Provjerite opstaje država. Ako se to ne dogodi, dugoročni rad nosi rizik od gubitka podataka koji se povećava s trajanjem zadatka.
-
Osoblje za model observabilnosti. Anthropicovo praćenje konzole integrira se s postojećim tijekovima rada za promatranje. NemoClawov TUI zahtijeva operatera u petlji. Drugačija je kadrovska matematika.
-
Pratite mape puta neizravnog brzog ubrizgavanja. Nijedna arhitektura ne rješava u potpunosti ovaj vektor. Anthropic ograničava radijus eksplozije uspješnog ubrizgavanja. NemoClaw hvata zlonamjerne predložene radnje, ali ne i zlonamjerne vraćene podatke. Zahtijevati obveze dobavljača prema planu puta za ovaj određeni jaz.
Nulto povjerenje za AI agente prestalo je biti tema istraživanja onog trenutka kada su isporučene dvije arhitekture. Monolitni default je obveza. Razlika od 65 točaka između brzine postavljanja i sigurnosnog odobrenja mjesto je gdje će započeti sljedeća klasa kršenja.