Связаться с нами
Связаться с нами
Надежный партнер в создании DevSecOps и безопасного искусственного интеллекта
Связаться с нами

Центр экспертизы

Исследования
Кейсы
Статьи
Руководства
  • AI SECURITY
    Агентный ИИ: как внедрять автономные цифровые системы безопасно
    Внедрение агентного ИИ требует переосмысления управления безопасностью, архитектурой, качеством данных и способами наблюдаемости. Почему надо заранее готовить архитектуру и процессы работы с агентами, какие существуют риски -рассказали в данном руководстве.
  • AI SECURITY
    Оценка инструментов безопасности с использованием ИИ
    Руководство для директоров по информационной безопасности. В этом документе представлена пятиэтапная модель безопасности ИИ: обнаружение, оценка, защита, управление и измерение.
  • AI SECURITY
    Безопасность искусственного интеллекта в финтехе
    Cовместное исследование Ассоциации ФинТех и ГК Swordfish Security с участием более 20 крупнейших игроков финансового рынка РФ
Смотреть все

Полезные инструменты

Калькулятор самооценки

Чат-бот
Рассчитай эффективность внедрения процесса DevSecOps при помощи нашего чат-бота.
Рассчитать

Таксономия угроз ИИ

Таксономия
Контроли угроз ИИ
Смотреть

Swordfish: SAIMM

Фреймворк
Фреймворк оценки зрелости безопасности ИИ-получите дорожную карту AI Security
Провести оценку
Чек-лист для оценки безопасности навыков AI-агентов
Чек-лист для оценки безопасности навыков AI-агентов

Чек-лист содержит несколько разделов:
  • Общие правила работы агента
  • Критические уязвимости
  • Уязвимости высокого уровня
  • Уязвимости среднего уровня
Для каждого проверяемого критерия пройдитесь по соответствующим разделам.
Что хотите оценить?
Общие правила работы агента
Для CISO
Оценки уровня зрелости процессов безопасной разработки ИИ-систем проводится в соответствии с опросником фреймворка безопасности ИИ Swordfish: SAIMM.

В этом блоке 8 вопросов. Для каждого вопроса укажите подходящий вариант ответа.
Есть ли утверждённая политика уровней автономности (что запрещено, что только с подтверждением, что допустимо) с привязкой к риску/сценариям/аудиториям и понятными критериями допуска?
Ограничены ли инструменты и ресурсы, доступные агенту (файлы, сеть, платежи, почта, API), и проверяются ли правила допуска (лимиты времени/стоимости/сети/данных, разрешённые домены/эндпойнты, RW-права) перед каждым шагом выполнения?
Проверяете ли вы планы агента в изолированной среде/симуляции (dry-run), особенно для опасных действий (файлы/сеть/платежи/внешние вызовы), с оценкой ожидаемых эффектов и рисков?
Есть ли точки, где человек обязан подтвердить действие, и фиксируются ли одобрения/отказы и причины?
Управляете ли вы памятью агента: какие данные разрешено хранить, срок хранения, запрет на чувствительные данные/ПДн, очистка и аудит доступа к памяти?
Есть ли полный журнал действий агента (план/шаг/инструмент/ввод/вывод/ошибка/время/стоимость), возможность replay/трассировки для расследований и метрики (успешность, время цикла, затраты, доля отказов/эскалаций)?
Проводите ли red-team для агента (инъекции, обход правил, эскалация прав, злоупотребление инструментами, «перепутал контексты»), и превращаются ли находки в CAPA с ретестом?
Заданы ли лимиты на токены/время/число шагов/запуски инструментов/стоимость и настроены ли авто-реакции при превышении (пауза/блок/эскалация), с отчётами по «дорогим» сценариям?
Результат оценки
0 ваш средний балл по ответам. Если результат ниже 3 баллов, то рекомендуем пройти полную оценку у наших экспертов.
Получить консультацию
Оцените зрелость ваших ИИ-систем уже сегодня.

Мы помогаем компаниям выстроить комплексный подход к безопасности ИИ с учетом актуальных угроз, требований регуляторов и специфики архитектуры.
Критические уязвимости
Для продвинутых экспертов по MLSecOps
Чек-лист для оценки безопасности навыков AI-агентов в соответствии с OWASP Agentic Skills Top 10.

Для каждого проверяемого навыка пройдитесь по соответствующим разделам ниже. Ответ «Нет» указывает на пробел, который необходимо устранить перед внедрением. Пункты с пометкой степени критичности отражают уровень риска соответствующей категории AST.

В этом блоке 12 вопросов. Для каждого вопроса укажите подходящий вариант ответа.
AST01
Вредоносные
навыки
Критический уровень
Получен ли навык из проверенного и надежного источника?
Идентичность издателя подтверждена; отсутствует имитация (typosquatting) известного названия навыка
Прошел ли навык поведенческий анализ безопасности (не только сигнатурный)?
Отчет сканирования от инструмента, оценивающего намерения, а не только сигнатуры кода
Выполнена ли проверка криптографической подписи?
Действительная подпись ed25519; content_hash совпадает с опубликованным манифестом
Проверены ли все скрипты навыка и инструкции на естественном языке на наличие вредоносных паттернов?
Нет закодированных полезных нагрузок (payloads), нет обращений curl к неизвестным конечным точкам (endpoints), нет доступа к учетным данным, выходящего за рамки заявленной функции в коде или инструкций на естественном языке.
Протестирован ли навык в изолированной canary-среде перед продакшеном?
Динамический отчет показывает соответствие фактического поведения заявленному
Предотвращает ли данный навык запись в файлы идентификации агентов (SOUL.md, MEMORY.md, AGENTS.md)?
Запрещен доступ на запись в файлы с идентификационными данными, если это явно не обосновано и не одобрено (см. также 3.6 — аспект привилегий)
AST02
Компрометация
цепочки поставок
Критический уровень
Подтверждена ли личность издателя навыка через ключ кодовой подписи?
Связана с проверенной идентичностью (например, did:web:, верифицированная GitHub-организация)
Привязан ли навык к конкретному неизменяемому хэшу содержимого (sha256:)?
Нет диапазонов версий; хэш совпадает с записью в реестре
Закреплены ли все вложенные зависимости по неизменяемым хэшам?
Зависимости в requirements.txt и package.json заблокированы — без диапазонов версий ^ или ~
Сформирован ли Software Bill of Materials (SBOM) для навыка и его зависимостей?
SBOM доступен в стандартном формате (CycloneDX, SPDX)
Рассматриваются ли конфигурационные файлы репозитория (хуки, .claude/settings.json, переменные окружения) как исполняемый код с механизмами доверия?
Конфигурационные файлы проверяются и одобряются; не выполняются автоматически при клоне или открытии
Выполнено ли сканирование рекурсивного дерева зависимостей (не только верхнеуровневых файлов навыка)?
Предоставлен отчет глубокого анализа, включая транзитивные зависимости
Критические уязвимости
Риски AST01, AST02
0 из 12 возможных отсутствуют. Для устранения рекомендована минимальная проверка: динамическое тестирование + ручная проверка.
Получить консультацию
Ни один инструмент не покрывает все риски. Рекомендуется использовать многоинструментальный пайплайн.

Мы помогаем компаниям выстроить комплексный подход к безопасности ИИ с учетом актуальных угроз, требований регуляторов и специфики архитектуры.
Уязвимости высокого уровня
Для продвинутых экспертов по MLSecOps
Чек-лист для оценки безопасности навыков AI-агентов в соответствии с OWASP Agentic Skills Top 10.

Для каждого проверяемого навыка пройдитесь по соответствующим разделам ниже. Ответ «Нет» указывает на пробел, который необходимо устранить перед внедрением. Пункты с пометкой степени критичности отражают уровень риска соответствующей категории AST.

В этом блоке 27 вопросов. Для каждого вопроса укажите подходящий вариант ответа.
AST03
Избыточные
привилегии
Высокий уровень
Есть ли у навыка манифест разрешений с явно указанными, ограниченными по области действия разрешениями?
Документация присутствует; разрешения перечислены (не являются бессрочными)
Ограничены ли права доступа в соответствии с заявленной функциональностью навыка?
Запрещен доступ за пределы возможностей, необходимых для выполнения описанной функции
Избегает ли этот навык неограниченного доступа к оболочке (shell: true)?
shell: false или доступ к оболочке ограничен конкретными командами
Ограничены ли разрешения на файлы конкретными путями (без wildcard **/*)
Указаны явные пути к файлам; отсутствуют широкие шаблоны (globs)
Использует ли навык отдельные учетные данные (scoped credentials) для каждого навыка (а не общие API-ключи уровня агента)?
Учетные данные изолированы в рамках данного навыка; регулярно ротируются
Помечен ли доступ на запись к файлам идентичности агента (SOUL.md, MEMORY.md) как требующий повышенной проверки?
Доступ на запись к файлам идентичности требует обоснования и одобрения
Заданы ли сетевые разрешения в виде allowlist доменов (а не бинарного network: true/false)
Указаны конкретные домены; по умолчанию запрещен весь прочий исходящий трафик
Избегает ли навык доступа к хранилищам учетных данных, файлам .env, кошелькам или SSH-ключам вне заявленной функции?
Нет чтения из ~/.ssh/, ~/.aws/, .env, **/credentials*, *.wallet или директорий данных браузера, если это явно не требуется и не обосновано
AST04
Небезопасные
метаданные
Высокий уровень
Соответствует ли описание навыка его фактической функциональности?
Отсутствуют скрытые возможности; описание совпадает с наблюдаемым поведением
Проверены ли метаданные на ASCII-smuggling, нулевой ширины Unicode и base64-кодированные полезные нагрузки?
Проверка чистая; в инструкциях SKILL.md и манифесте нет стеганографического содержимого
Безопасны ли настройки метаданных по умолчанию (не являются ли они чрезмерно разрешительными)?
Нет разрешений «по умолчанию открыто»; опасные возможности (shell, сеть, запись в файлы идентичности) требуют явного включения в манифесте
Проверены ли метаданные на соответствие схеме безопасности?
Пройдена валидация схемы; нет неожиданных или необъявленных полей
Соответствует ли заявленный уровень риска (risk_tier) фактическому объему разрешений?
Перекрёстная проверка: навык с уровнем L0 (безопасный) и shell: true — тревожный сигнал
Проверена ли имитация брендов/товарных знаков?
Название навыка не маскируется под известный бренд без аффилиации
AST05
Небезопасная
десериализация
Высокий уровень
Используются ли безопасные загрузчики YAML (yaml.safe_load, а не yaml.load)?
В файлах навыка отсутствуют небезопасные YAML-теги (!!python/object, !!python/apply)
Обрабатываются ли конфигурационные файлы навыка в изолированном подпроцессе или контейнере перед выполнением?
Десериализация происходит в изолированной среде без доступа к ресурсам хоста
Применяется ли allowlist (белый список) допустимых ключей YAML/JSON?
Неожиданные или необъявленные поля отклоняются
Рассматриваются ли файлы requirements.txt, package.json и pyproject.toml внутри пакетов навыков как недоверенный код?
Установка зависимостей выполняется в песочнице; не запускается с привилегиями агента
Применяется ли валидация схемы (JSON Schema, Pydantic или аналог) до десериализации данных, предоставленных навыком?
Шаг валидации подтверждён в пайплайне загрузки навыка
Выполняется ли десериализация с минимальными привилегиями (не в привилегированном контексте агента)?
Подтверждено снижение привилегий перед парсингом
AST06
Слабая изоляция
Высокий уровень
Будет ли навык выполняться в изолированном контейнере или песочнице (не в host-mode)?
Изоляция через Docker/контейнер подтверждена; режим host-mode требует явного включения
Ограничен ли доступ к файловой системе только объявленными путями?
Доступ вне заявленного диапазона отсутствует; проверено в динамическом тестировании
Контролируется ли сетевой доступ — интерфейсы привязаны к локальному компьютеру (localhost) с аутентификацией, а не к 0.0.0.0?
Интерфейсы управления агентом требуют аутентификации; не доступны из сети
Применяются ли профили seccomp/AppArmor для ограничения системных вызовов?
Профиль подключен к контексту выполнения навыка
Изолирован ли навык от других навыков и агентов (раздельное пространство имен)?
Подтверждена изоляция на уровне процессов; отсутствует общий доступ к памяти или файловой системе между навыками
Ограничены ли WebSocket-соединения по скорости и защищены ли они аутентификацией (включая localhost)?
На всех каналах управления подтверждены аутентификация и ограничение частоты запросов (rate limiting)
Ограничен ли hot-reload (мгновенное обновление) навыков / приоритет рабочей области в продакшене?
Переопределение навыков из рабочей области требует явного подтверждения пользователя
Уязвимости высокого уровня критичности
Риски AST03, AST04, AST05, AST06
0 из 27 возможных отсутствуют. Для устранения рекомендована минимальная проверка: автоматическое сканирование
Получить консультацию
Оцените зрелость ваших ИИ-систем уже сегодня.

Мы помогаем компаниям выстроить комплексный подход к безопасности ИИ с учетом актуальных угроз, требований регуляторов и специфики архитектуры.
Уязвимости среднего уровня
Для продвинутых экспертов по MLSecOps
Чек-лист для оценки безопасности навыков AI-агентов в соответствии с OWASP Agentic Skills Top 10.

Для каждого проверяемого навыка пройдитесь по соответствующим разделам ниже. Ответ «Нет» указывает на пробел, который необходимо устранить перед внедрением. Пункты с пометкой степени критичности отражают уровень риска соответствующей категории AST.

В этом блоке 25 вопросов. Для каждого вопроса укажите подходящий вариант ответа.
AST07
Дрейф
обновлений
Средний уровень
Закреплен ли навык за конкретным неизменяемым хэшем содержимого (sha256:)?
Хэш записан в инвентаре; не используется изменяемый version tag
Отключено ли автообновление или оно требует повторного одобрения в продакшене?
Обновления требуют явного одобрения человека перед развертыванием
Подписываются ли обновления криптографически оригинальным издателем?
Проверка подписи выполняется при каждом обновлении; неподписанные обновления отклоняются
Вызывают ли обновления автоматическое повторное сканирование безопасности?
Пайплайн сканирования запускается при каждом изменении версии
Отключен ли hot-reload вне среды разработки?
SkillsWatcher или аналог отключен в продакшене; изменения требуют перезапуска и одобрения
Подключена ли подписка на уведомления о безопасности (security advisories) для установленных навыков?
Настроены CVE-оповещения для всех установленных пакетов навыков
AST08
Недостаточное
сканирование
Средний уровень
Проводился ли поведенческий / семантический анализ (не только сигнатурный)?
Инструмент сканирования оценивает намерения и инструкции на естественном языке, а не только сигнатуры на основе регулярных выражений
Выполнено ли независимое сканирование как кода, так и слоя естественного языка?
Отдельные результаты сканирования для кода и для естественно-языковых инструкций в SKILL.md / манифесте
Проводилось ли сканирование на утечки учетных данных (Gitleaks, TruffleHog или аналоги)?
Чистый результат: API-ключи, токены, пароли и PII не обнаружены во всех файлах навыка
Проводилось ли сканирование в изолированной среде, предотвращающей влияние навыка?
Среда сканирования оснащена средствами наблюдения и контроля; навык не может обнаружить или повлиять на контекст проверки
Проводилось ли динамическое поведенческое тестирование в песочнице?
Лог наблюдаемого поведения: доступ к файлам, сетевые вызовы и shell-команды соответствуют заявленному объему
Рассматриваются ли результаты анализа от skill-based сканеров только как вспомогательные (не единственный критерий)?
Нет зависимости от одного сканера — особенно если сам сканер является навыком
AST09
Отсутствие
управления
Средний уровень
Зарегистрирован ли навык в централизованном реестре навыков организации?
Запись существует и содержит: имя, версию, хэш, дату установки, идентификатор установщика, статус последнего сканирования
Присвоен ли навыку уровень риска (risk tier) L0–L3?
Уровень риска задокументирован и соответствует объему разрешений
Есть ли запись об одобрении установки этого навыка?
Процесс согласования завершен; зафиксированы идентификатор одобряющего и датa
Логируются ли вызовы навыка с достаточной детализацией для аудита?
Логи включают: ID навыка, контекст пользователя, вызванные инструменты, доступ к файлам, сетевые соединения, результаты
Определена ли регулярность пересмотра (review cadence) для этого навыка?
Запланирована периодическая переоценка; частота соответствует уровню риска
Существует ли формальный процесс отзыва/удаления навыка, связанный с оффбордингом и реагированием на инциденты?
Удаление навыка привязано к жизненному циклу идентичности; IR-плейбук включает сценарии для конкретных навыков
Управляются ли агентные идентичности как не-человеческие (NHI) с ограниченными и ротируемыми учетными данными?
Агент NHI зарегистрирован в IAM; учетные данные ограничены и регулярно ротируются
AST10
Кроссплатформенное
использование
Средний уровень
Был ли навык независимо валидирован для каждой целевой платформы?
Есть результаты тестирования по каждой платформе; эквивалентность не предполагается
Последовательно ли заданы параметры безопасности (permissions, risk_tier, подпись) во всех версиях платформ?
Отсутствует «тихая» потеря свойств при портировании; risk_tier и permissions присутствуют во всех форматах
Проведена ли оценка платформо-специфических пробелов безопасности для каждого целевого окружения?
Выполнен анализ различий между моделями песочницы, механизмами разрешений и конфигурациями по умолчанию (Gap-анализ)
Последовательна и безопасна ли обработка учетных данных на всех платформах?
Хранение, ограничение доступа и ротация учетных данных проверены на каждой платформе
Используется ли кросс-реестровый обмен данными о угрозах для этого навыка?
Если навык опубликован в нескольких реестрах, результаты сканирования и отчеты об инцидентах синхронизируются между ними
Используется ли универсальный формат навыков (или платформо-независимый манифест)?
Присутствует нормализованный YAML-манифест со всеми полями безопасности
Уязвимости среднего уровня критичности
Риски AST07, AST08, AST09, AST10
0 из 25 возможных отсутствуют. Для устранения рекомендована минимальная проверка: верификация инвентаря
Получить консультацию
Ни один инструмент не покрывает все риски. Рекомендуется использовать многоинструментальный пайплайн.

Мы помогаем компаниям выстроить комплексный подход к безопасности ИИ с учетом актуальных угроз, требований регуляторов и специфики архитектуры.

Думаете о DevSecOps и AI Security?
Мы всё расскажем

Узнайте у наших экспертов про защищенное ПО