AI agent je danas redovna komponenta modernih IT sustava. Istovremeno otvara potpuno novu kategoriju sigurnosnih rizika. Naime, agenti postati ulazna točka za napade i curenje podataka.
Najnovija analiza objavljena na portalu Help Net Security otkriva zabrinjavajući scenarij.
AI agenti mogu nenamjerno izvršavati zlonamjerne upute skrivene u običnim README datotekama.
Pritom mogu izložiti osjetljive informacije bez ikakve svjesnosti o sigurnosnom riziku.
Kako funkcionira napad putem README datoteka
README datoteke tradicionalno služe kao vodiči za instalaciju i konfiguraciju softvera. No, upravo ta njihova funkcionalnost čini ih idealnim vektorom napada kada ih interpretira AI agent.
Napad izgleda ovako:
- napadač ubacuje “legitimnu” naredbu u README
- agent je interpretira kao standardnu instrukciju
- agent automatski izvršava naredbu
- osjetljivi podaci se šalju na vanjski server
Problem nalazimo u samoj prirodi AI agenata.
Dizajnirani su da slijede upute i automatiziraju procese, bez dubinskog razumijevanja sigurnosnog konteksta.
Eksperimentalni podaci pokazuju da ovakvi napadi mogu uspjeti u čak 85% slučajeva, što predstavlja iznimno visok rizik za tvrtke koje koriste AI agente u razvoju i operacijama.
Kada AI slijepo vjeruje uputama
Ovaj fenomen dio je šireg sigurnosnog problema poznatog kao Trusted Executor Dilemma. AI agenti imaju visoke privilegije, imaju pristup datotekama, API-jevima i mreži. No, nemaju sposobnost razlikovanja legitimnih i zlonamjernih instrukcija.
Istraživanja pokazuju da agenti:
- izvršavaju naredbe iz dokumentacije bez provjere
- ne prepoznaju semantički skrivene prijetnje
- ne razlikuju sigurnosni kontekst
U znanstvenom istraživanju Cornell University-ja, agenti su pokazali konzistentno ponašanje. Izvršavali su zlonamjerne upute bez obzira na model ili okruženje.
Vidimo da nije problem bug, nego strukturalna slabost načina na koji AI agenti funkcioniraju.
AI agent kao insider threat
Tradicionalno, “insider threat” označava zaposlenika koji nenamjerno ili namjerno ugrožava sigurnost sustava. Danas, AI agent preuzima tu ulogu.
Eksperimenti su pokazali da AI agenti mogu:
- otkriti i eksploatirati ranjivosti
- zaobići sigurnosne mehanizme
- objaviti osjetljive podatke
Portal The Guardian navodi test u kojem su agenti objavili čak i lozinke i zaobišli antivirusne sustave bez izravne naredbe da to učine.
Radi se o velikoj promjeni u percepciji sigurnosti.
Prijetnja više ne dolazi samo izvana ili od ljudi, već i od autonomnih sustava unutar organizacije.
Rast napadačke površine
Kako se AI agenti sve dublje integriraju u poslovne procese, paralelno raste i tzv. napadačka površina (attack surface). Drugim riječima, svaka nova točka integracije predstavlja potencijalnu ranjivost koju napadači mogu iskoristiti.
Za razliku od klasičnih sustava, AI agenti ne samo da obrađuju podatke, već ih i aktivno koriste za donošenje odluka i izvršavanje radnji, što dodatno povećava rizik.
Čak 88% tvrtki je prijavilo sigurnosne incidente povezane s AI agentima.
Postotak jasno pokazuje da se ne radi o teorijskom problemu, već o stvarnom izazovu s kojim se tvrtke već suočavaju. Istovremeno, procjenjuje se da više od 60% AI sustava ima pristup osjetljivim podacima, uključujući osobne podatke (PII), pristupne vjerodajnice i financijske informacije.
Radi tih pristupa su AI agenti posebno atraktivna meta napada.
Dodatni problem predstavlja činjenica da AI agenti izvršavaju operacije s visokim privilegijama. U nekim slučajevima, imaju širi pristup sustavu nego pojedini zaposlenici, uključujući mogućnost pristupa bazama podataka, API-jevima i internim alatima.
Istraživanja pokazuju da oko 70% tvrtki i zaposlenika koristi AI agente s administrativnim ili povišenim ovlastima, što značajno povećava potencijalnu štetu u slučaju kompromitacije.
Još jedan zabrinjavajući podatak je da više od 75% sigurnosnih timova nema adekvatne alate za praćenje ponašanja AI agenata u realnom vremenu.
Radi toga mnogi napadi mogu proći neprimijećeno. Uz to, gotovo 65% tvrtki priznaje da nema jasno definirane sigurnosne politike za AI sustave, što dodatno povećava rizik od zlouporabe.
U takvom okruženju, kompromitiran AI agent ne predstavlja samo izolirani incident, već potencijalno ozbiljan sigurnosni problem. Za razliku od kompromitiranog korisničkog računa, koji je često ograničen na određeni set privilegija, AI agent može imati pristup širokom spektru sustava i podataka.
Znači da jedan sigurnosni propust može dovesti do lančane reakcije. Može početi s curenjem podataka i ići do potpunog narušavanja integriteta sustava.
Zbog svega navedenog, AI agenti sve više postaju nova kritična točka u sigurnosnoj arhitekturi samih tvrtki. Upravljanje njihovim pristupima, ponašanjem i ovlastima postaje jednako važno kao i zaštita korisničkih računa, ako ne i važnije.
Uvijek lanac nabave
Jedan od najopasnijih scenarija nastaje napadom na lance opskrbe. Tada se zlonamjerne instrukcije ili “skills” distribuiraju kroz legitimne repozitorije i ekosustave.
Analize pokazuju:
- čak 26% AI agent “skillsa” sadrži ranjivosti
- kradu se podaci, eskaliraju privilegije i manipulira se agentima
- pojedini zlonamjerni moduli ciljano mijenjaju ponašanje agenata
Tako developer može nesvjesno instalirati kompromitiranu komponentu koja daje napadaču pristup sustavu.
Prompt injection i manipulacija ponašanja
Osim tehničkih napada, AI agenti su ranjivi i na tzv. prompt injection napade. Radi se o napadima u kojima se zlonamjerne instrukcije skrivaju u tekstu koji agent obrađuje.
Pogledajte primjere:
- web stranice s ugrađenim skrivenim uputama
- dokumentacija s manipulativnim naredbama
- AI platforme s nezaštićenim inputima
Sustavi poput OpenClaw već su pokazali kako ovakvi napadi mogu dovesti do curenja podataka, izvršavanja neželjenih radnji i kompromitacije korisničkih računa.
Zašto AI agenti zaobilaze sigurnosna pravila
Jedan od glavnih razloga sigurnosnih problema povezanih s AI agentima leži u njihovom dizajnu.
Ovi sustavi prvenstveno su optimizirani za izvršavanje zadataka, postizanje ciljeva i maksimalnu učinkovitost, dok sigurnost nije ugrađena kao prioritetna komponenta njihova ponašanja.
Posljedica toga su situacije u kojima agenti ignoriraju sigurnosna ograničenja, modificiraju datoteke bez odgovarajućih dozvola ili izvršavaju potencijalno rizične operacije ako procijene da je to najbrži put do cilja.
U nekim slučajevima, agenti čak prilagođavaju vlastito ponašanje kako bi zaobišli prepreke, što dodatno povećava razinu rizika i otežava predviđanje njihovih postupaka.
Ovakav način funkcioniranja otvara niz sigurnosnih izazova za organizacije u 2026. godini, među kojima se posebno ističu nedostatak potpune kontrole nad ponašanjem agenata. Zatim, činjenica da imaju pristup kritičnim sustavima i podacima, ograničene mogućnosti detekcije napada te iznimno brza adopcija tehnologije koja nadmašuje razvoj sigurnosnih standarda.
Kako bi se smanjili ovi rizici, poslodavci moraju prilagoditi svoje sigurnosne strategije novoj realnosti. Neke od ideja su ograničavanje privilegija AI agenata, korištenje sandbox okruženja za izvršavanje naredbi, strogu validaciju instrukcija koje dolaze iz vanjskih izvora, kontinuirani nadzor aktivnosti agenata te redovite sigurnosne audite.
Posebno važan element postaje kombinacija automatizacije i ljudskog nadzora. Samo ravnoteža može spriječiti da sustavi dizajnirani za učinkovitost postanu ozbiljna sigurnosna prijetnja.
