„Mitiga“ paleido „Skillgate“: naujas ginklas prieš nematomas DI agentų grėsmes

Dirbtinio intelekto agentai sparčiai integruojami į įmonių debesijos ir programuotojų aplinkas, tačiau kartu jie atsineša ir nemenką saugumo chaosą. Komandos neretai aklai diegia trečiųjų šalių instrukcijas bei „įgūdžius“, visiškai neįtardamos apie paslėptas grėsmes. Siekdama užkamšyti šią pavojingą spragą, saugumo tyrimų padalinio komanda pristatė Mitiga Labs nemokamą bendruomenei skirtą įrankį „Skillgate“. Šis sprendimas sukurtas skenuoti konfigūracinius failus, kuriais remiasi DI agentai – pradedant „hooks“ ar „CLAUDE.md“ ir baigiant MCP serverių nustatymais – taip užkardant kelią komandų injekcijoms, kredencialų nutekėjimui ar nuotolinio kodo vykdymui (RCE).

Šio įrankio architektūra veikia hibridiniu principu, leidžiančiu saugumo patikrą atlikti be jokio tiesioginio kodo vykdymo grėsmės. Vartotojui įklijavus viešos „GitHub“ saugyklos nuorodą, sistema fiksuoja skenavimą ties konkrečiu kodo pakeitimu (angl. commit) ir analizuoja failus naudodama parašų bei sintaksės medžio (AST) metodus. Galutiniam vertinimui pasitelkiamas specializuotas „Gator Agent“ LLM modelis, kuris veikia kaip arbitras (angl. LLM-as-judge) ir susieja radinius su žinomomis atakų technikomis. Tokia struktūra leidžia ne tik nustatyti teorines spragas, bet ir realiu laiku imituoti bei perprasti priešišką elgseną virtualioje aplinkoje.

Sistemos našumas ir efektyvumas jau patikrinti praktiškai: atliekant tyrimą išanalizuota daugiau nei 50 000 DI instrukcijų failų iš tūkstančių viešųjų saugyklų, kur aptikta per 1 230 kietai įrašytų API raktų. Pati patikra veikia stulbinamu greičiu – atskiri failai nuskenuojami per kelias sekundes, o pilnos repozitorijos analizė užtrunka vos kelias minutes. „Skillgate“ pritaiko virš 80 aptikimo taisyklių, suskirstytų į šešias technikų šeimas, o visi rezultatai išreikšti rizikos balu iki 100 bei aiškiomis kategorijomis nuo švarios iki pavojingos, tiesiogiai mapuojant radinius į „OWASP Agentic AI Top 10“ ir „MITRE ATLAS“ standartus.

Užkulisių inžinerija: kai kalbame apie tūkstančių „GitHub“ saugyklų nuskaitymą realiu laiku, sistemos inžinieriai puikiai žino, kad tradiciniai kodo analizės metodai tiesiog užspringsta tekstinės informacijos gausoje. DI agentų konfigūracijos nėra paprastas struktūrizuotas kodas; tai hibridiniai failai, kur natūrali kalba persipina su JSON, YAML ar Markdown direktyvomis. Siekiant išvengti milžiniškų skaičiavimo sąnaudų, kurias sukeltų nuolatinis didelių kalbos modelių (LLM) užklausų siuntimas, „Skillgate“ architektūroje pritaikytas griežtas kelių pakopų filtravimo konvejeris. Pirmiausia failai praeina pro itin lengvą, abstrakčių sintaksės medžių (AST) ir reguliariųjų išraiškų filtrą, kuris akimirksniu atmeta saugias konfigūracijas ir izoliuoja tik potencialiai įtartinas semantines struktūras.

Šis pirminis optimizavimas leidžia drastiškai sumažinti duomenų srautą, pasiekiantį brangiai kainuojantį vertinimo etapą. Tik tuomet, kai statinė analizė užfiksuoja anomaliją – pavyzdžiui, įtartiną sisteminę instrukciją, leidžiančią vykdyti išorines komandas – įsijungia „Gator Agent“ LLM arbitras. Kadangi LLM konteksto lango apdorojimas reikalauja daug išteklių, inžinieriai optimizavo užklausų šablonus (angl. prompt engineering), perduodami modeliui tik tikslinį kodo fragmentą ir jo artimiausią kontekstą, o ne visą repozitorijos medį. Tai leidžia išlaikyti mažą delsą (angl. latency) ir užtikrina, kad analizė būtų baigta per kelias sekundes, o ne minutes.

Asinchroninis apdorojimas ir deterministinis vertinimas

Didžiausias iššūkis, su kuriuo susiduriama integruojant LLM į saugumo patikros procesus, yra nedeterministinis modelių pobūdis – tas pats kodas skirtingu metu gali gauti skirtingą įvertinimą. „Mitiga Labs“ šią problemą išsprendė „Skillgate“ sistemoje įdiegdama griežtą temperatūros nustatymų kontrolę ir struktūrizuotą JSON išvesties schemą, kuri priverčia modelį grąžinti rezultatus tik pagal griežtai apibrėžtus parametrus. Visi skenavimo procesai vykdomi asinchroninėse eilėse, todėl vienu metu galima apdoroti šimtus vartotojų užklausų, neapkraunant pagrindinės naudotojo sąsajos gijos ir išvengiant atminties nutekėjimo rizikos serverio pusėje.

Galiausiai, gauti semantiniai radiniai automatiškai agreguojami ir paverčiami deterministiniais rizikos balais, remiantis svoriniu algoritmu, įvertinančiu pažeidžiamumo tipą. Pavyzdžiui, aptiktas kietai įrašytas API raktas automatiškai suteikia maksimalų svorį saugumo metrikoje, tuo tarpu potenciali neteisinga teisių konfigūracija vertinama kontekstualiai, atsižvelgiant į tai, ar agentas turi prieigą prie išorinių interneto resursų. Toks preciziškas sisteminis požiūris leidžia suderinti du iš pirmo žvilgsnio priešingus polius: lanksčią dirbtinio intelekto kuriamo turinio analizę ir griežtą, nuspėjamą kibernetinio saugumo reikalavimų vykdymą įmonės lygmeniu.

Skaitant tarp eilučių: kyla natūralus įtarimas, ar nemokamų įrankių dalijimas bendruomenei nėra tik sumanus bandymas gesinti gaisrą benzinu. „Skillgate“ pasirodymas rinkoje demonstruoja paradoksalią situaciją – DI agentų saugumo spragos dabar lopomos tais pačiais didžiaisiais kalbos modeliais, kurie tas spragas ir sukuria. Saugumo inžinieriai susiduria su absurdu, kai viena generatyvinio intelekto instancija bando pergudrauti kitą, o galutinis rezultatas priklauso nuo to, kurios pusės užklausų šablonai (angl. prompts) šiandien yra gudresni. Tai sukuria pavojingą iliuziją, kad saugumas yra visiškai kontroliuojamas, nors iš tikrųjų mes tik perkeliame atsakomybę dar vienam juodosios dėžės algoritmui.

Didžiausias prieštaravimas slypi pačioje DI agentų prigimtyje – jie sukurti būti lankstūs ir autonomiški, o saugumo standartai, tokie kaip „OWASP“ ar „MITRE“, reikalauja griežto nuspėjamumo ir determinizmo. Kai „Skillgate“ skenuoja konfigūracinius failus ir nustato rizikos balą, jis vertina tik statinį momentą, t. y. kodo būseną „GitHub“ saugykloje. Tačiau realiame gyvenime DI agentas mokosi ir keičia savo elgseną dinamiškai, reaguodamas į vartotojų įvestis realiu laiku, todėl šiandien „švarus“ failas rytoj gali tapti idealiais vartais piktavaliui. Statinių konfigūracijų analizė yra puiki higienos priemonė, tačiau ji neapsaugo nuo vadinamųjų „prompt injection“ atakų, vykstančių jau po sistemos paleidimo.

Autonomijos kaina ir ateities projekcijos

Žvelgiant į ateitį, tokie įrankiai kaip „Skillgate“ taps privaloma programinės įrangos tiekimo grandinės (angl. software supply chain) dalimi, tačiau jie taip pat išprovokuos naują ginklavimosi varžybų etapą. Programišiai jau dabar mokosi maskuoti kenksmingas instrukcijas natūralioje kalboje taip, kad pirminiai AST filtrai jas praleistų kaip įprastą dokumentaciją. Jei pramonė aklai pasitikės tik automatizuotais rizikos balais, sulauksime situacijos, kai DI sistemos bus masiškai sertifikuojamos kaip saugios, kol pirmasis kūrybingas programišius neras būdo apeiti „Gator Agent“ arbitro logiką.

Galutinė šios technologinės transformacijos kaina bus lėtesnis DI agentų integracijos tempas įmonėse. Vadovai, supratę, kad net ir nuskenuotas agentas gali netikėtai nutekinti API raktus dėl vieno neteisingo semantinio niuanso, bus priversti grąžinti rankinį kodų peržiūros procesą. Tai veda prie dar vieno paradokso: technologijos, kurios turėjo visiškai automatizuoti procesus ir sutaupyti laiko, galiausiai reikalauja dar daugiau žmonių priežiūros ir papildomų saugumo auditų sluoksnių.

Galiausiai priėjome etapą, kai samdome vieną robotą, kad šis prižiūrėtų, jog kitas robotas neišvalytų įmonės banko sąskaitos, ir vis tiek tikimės, kad trečiasis robotas už mus parašys ketvirtadienio ataskaitą.

Vyr. redaktorius Artūras Malašauskas, DI sistemų integratorius, sukaupęs daugiau nei 20 metų patirties kuriant gamybinio lygio žiniatinklio inžinerijos sprendimus. Jis projektavo, diegė ir plėtė verslo klasės „Python“/„PHP“ sistemas logistikos, SaaS bei viešojo sektoriaus klientams. Pastaruosius metus jis specializuojasi išskirtinai DI integracijų srityje: diegia atvirojo kodo didžiuosius kalbos modelius (LLM), kuria generatyvinių medijų (vaizdo, garso, video) srautus bei projektuoja daugiagentines darbo eigas realioms gamybinėms aplinkoms. Jo standartas: atkuriamumas, saugumas ir ekonomiškai efektyvi išvestis – jokio „vaporware“. Artūras dokumentuoja bei vertina naujus DI įrankius, atskirdamas patvirtintas galimybes nuo rinkodarinio triukšmo. Techninis redaktorius svetainėse: ai-naujienos.lt, ai-verslas.lt, muza-ai.eu. Susisiekite per „LinkedIn“.