Руйнувальний доказ! 91% AI-агентів мають вразливості, 770 000 агентів одночасно зламані — чи безпечний ще ваш $BTC у ваших руках?

Брате, сідай міцніше. Сьогодні не про що інше, крім однієї справи, що безпосередньо пов’язана з твоїм гаманцем — твої AI-агенти, ті “цифрові помічники”, що допомагають тобі торгувати, керувати поштою, навіть автоматично збирати аірдропи, можливо, працюють на хакерів.

Щойно на стіл поклали спільний дослідницький звіт від Стенфорда, MIT, Карнегі-Меллон, NVIDIA та інших провідних інститутів, дані холодні до кістки: вони проаналізували 847 AI-агентів, що працюють у виробничому середовищі, і виявили, що 91% мають уразливості у ланцюжках інструментів, 94% агентів з підсиленням пам’яті можна “отруїти” — наче додати пральний порошок у питну воду, і ти все одно будеш пити з задоволенням.

Ще страшніше — дослідження виявило 2347 раніше невідомих вразливостей, з яких 23% оцінені як серйозні. Це вже не лабораторні моделювання. Перший автор статті, Оуен Сакава, прямо назвав реальний випадок на початку цього року — інцидент OpenClaw/Moltbook.

Давай, розповім тобі про цей “учебник” чорного лебедя. OpenClaw — це відкритий AI-агент, випущений у листопаді 2025 року, що дозволяє агентам самостійно надсилати пошту, керувати розкладом, виконувати командний рядок, розгортати код, а також зберігати пам’ять між сесіями. На GitHub понад 160 тисяч зірок — дуже популярний.

Потім з’явилася соціальна платформа під назвою Moltbook, спеціально для агентів OpenClaw. Після вірусного поширення понад 770 тисяч агентів зареєструвалися там — як? Користувачі говорили своїм агентам: “Гей, зареєструйся на Moltbook”, і агент сам заповнював форму.

А що далі? У базі даних платформи був вразливий пункт — хакери могли обійти автентифікацію і безпосередньо вставляти команди у будь-яку сесію агента. 770 тисяч агентів — кожен із них мав привілеї до пристроїв користувачів, електронної пошти та файлів, і всі вони були зламані.

Безпекова компанія Astrix Security за допомогою власного інструменту ClawdHunter просканувала мережу і виявила 42665 інстанцій OpenClaw у відкритому доступі, з них 8 — повністю відкриті, без будь-якої автентифікації. Команда Cisco з дослідження безпеки AI оцінила: “З точки зору можливостей — прорив, з точки зору безпеки — справжній кошмар.”

Кібератаки з використанням уразливостей знайшли 512 вразливостей у січні 2026 року, з них 8 — серйозні. Дослідник з безпеки, Саймон Віллісон, підсумував “смертельний трикутник” — AI-агенти мають доступ до конфіденційних даних, можуть контактувати з недовірливим контентом і спілкуватися зовні. Замкнута трикутна система — ідеальний плацдарм для хакерів.

Дослідницька команда розділила безпекові проблеми AI-агентів і звичайних великих мовних моделей: при оцінці LLM питають — “Чи може модель видавати небезпечний контент?”, а при оцінці агентів — “Чи може модель зробити щось небезпечне?” — тут мається на увазі виклики інструментів, зміни стану, виконання багатоступеневих планів.

Наприклад, агент має одночасно права читати файли і надсилати HTTP-запити. Окремо кожен крок — безпомилковий: читати файли — не порушує правил, надсилати запити — теж. Але у поєднанні — зламати пароль із конфігураційного файлу і відправити його на сервер зловмисника — весь процес залишається легальним, але результат — крадіжка даних. Це так звані “комбіновані проблеми безпеки”.

Ще більш боляче — контрольовані тести: атаки на підвищення привілеїв для агентів, що використовують інструменти, мають успіх у 95%, а для агентів з підсиленням пам’яті — 94%. Навіть найпотужніша система з багатьма агентами має 58% шансів на успіх при атаках з ціллю зміщення.

У тестах на генерацію атак за допомогою підкріплювального навчання, рівень порушень становив 79%, що на 25.4% більше, ніж у ручних сценаріях (63%). Це свідчить, що арсенал хакерів швидко поповнюється, і людські червоні команди вже не встигають.

Дослідження розбило вразливості за галузями: у медицині — 289 випадків (34.1%), у фінансах — 247 (29.2%), у службі підтримки — 198 (23.4%), у генерації коду — 113 (13.3%). У шести типах атак перше місце займає маніпуляція станом — 612 випадків, цілепереміщення — 573. Помилки у використанні інструментів і ланцюжки викликів — третє місце (489), але з найвищою серйозністю — 198 з них оцінені як критичні, і це найбільше серед усіх категорій.

Ще один нюанс, що не дає спати — ефект від отруєння пам’яті проявляється у середньому через 3.7 сесій після ін’єкції. Тобто, коли ти зрозумієш, що щось не так — хакери вже могли використовувати твого агента протягом двох тижнів.

Дослідники запропонували мінімальні стандарти безпеки: обов’язковий моніторинг усіх виробничих агентів під час роботи; ручне схвалення всіх дій у ланцюжках інструментів, що мають доступ до даних і вихідних комунікацій; кожні 20-25 кроків — обов’язкова перевірка людиною; для агентів з підсиленням пам’яті — шифрування та цілісність збереженого стану.

Що стосується моніторингу — точність дії становить 0.94, F1-скор для послідовностей — 0.85, для станів — 0.83. За 30 днів тестування 127 виробничих агентів система перехопила 4782 операції, з рівнем помилкових спрацьовувань 3.7%, з них 14.6% — справжні атаки.

Зверніть увагу, що сучасні “рамки управління AI” здебільшого — це постфактум аудит, а не реальні обмеження під час виконання. Європейський “Закон про штучний інтелект”, американський NIST AI Risk Management Framework — все ще у розробці, і тиск щодо відповідності та безпеки зростає.

Повертаючись до твого гаманця. Якщо ти використовуєш AI-агента для автоматичної торгівлі, копіювання операцій, управління гаманцем — негайно припини і перевір, чи зберіг ти приватний ключ? Читав історії транзакцій? Маєш дозвіл на відправку даних?

Гарі Маркус прямо сказав: “Автономні агенти — це повний хаос.” Це не жарт, а висновок, зроблений на основі даних.

Дані не брешуть. 847 розгортань, 2347 вразливостей, 770 тисяч зламаних агентів — це не тренування, це реальність. Твої $BTC і $ETH у холодних гаманцях — поки що безпека, але якщо твій AI-агент і мережа — це найтонке скло у твоєму активі.

Зважуй сам.