Компания Gen объявила войну ИИ-агентам, которые воруют пароли — антивирус Sage ловит их прямо перед саботажем

ИИ-агенты всё чаще делают то, что раньше приходилось выполнять вручную: запускать команды в терминале, править файлы в репозитории, ставить зависимости, скачивать утилиты из интернета. Такой режим уже встроен в инструменты вроде Claude Code, Cursor и OpenClaw. Всё держится на простом условии: доступ к рабочей машине открывает дорогу к токенам, ключам, приватным репозиториям и другим секретам.

Ошибки опасны тем, что действия выполняются быстро и без паузы на уточнения. Нейросетевой помощник может перепутать название пакета и попытаться поставить зависимость, которой нет в реестре. Автоматизация может вытащить секрет из окружения и случайно записать значение в лог, вставить значение в чужой файл или передать значение в команду, которую увидят посторонние. Иногда скачивание исполняемого файла заканчивается немедленным запуском, потому что такой порядок часто встречается в инструкциях. Похожие истории уже случались, когда помощник предлагает загрузить скрипт и сразу выполнить скрипт, или когда помощник пытается вставить API-ключ в файл, к которому ключ не должен иметь отношения.

Угроза приходит и извне. Платформы с такими инструментами привлекают злоумышленников, потому что доступ обычно включает чтение файлов, запись файлов, сетевые запросы и запуск команд. Вредоносная ссылка, отравленная зависимость или заражённый плагин превращают рабочий контур в точку входа. Дальше атакующему нужно добиться одного: чтобы выполнение нужного шага произошло автоматически.

Пример уже был на практике. В ClawHub, публичном каталоге расширений для OpenClaw, нашли около 400 вредоносных навыков. На момент обнаружения такие дополнения составляли около 12% от всего каталога. Многие выглядели как обычные модули и повторяли легитимную функциональность, но внутри прятали логику, которая подталкивала к скачиванию и запуску малвари.

Постепенно таким инструментам доверяют задачи, где промах даёт реальные потери. Речь идёт о платежах, управлении инфраструктурой и процессах, где проходят чувствительные данные. Возможности растут быстрее, чем привычные проверки, поэтому разрыв между полномочиями и контролем становится заметнее.

Компания Gen, которой принадлежат бренды Norton, Avast, LifeLock и AVG, выпустила Sage. Инструмент следит за действиями во время работы, а не только на этапе установки расширения. Проверка включается в момент, когда запланированный шаг уже готов выполниться на машине.

Sage встраивается в рабочий цикл и проверяет каждый шаг: команду оболочки, обращение к URL, запись в файл, установку пакета. После проверки инструмент выдаёт один из трёх вариантов: выполнить, спросить решение у пользователя, заблокировать. В обычных задачах вмешательства нет. Реакция появляется, когда шаг выглядит подозрительно.

Такой контроль закрывает два класса рисков. Снаружи прилетают вредоносные URL и заражённые зависимости. Изнутри прилетают ошибки, когда автоматизация запускает разрушительную команду, раскрывает секреты или меняет системные файлы. Один из типичных сценариев выглядит знакомо: настройка окружения заканчивается тем, что скрипт скачивается из интернета и сразу уходит в исполнение. Sage распознаёт подобную связку и останавливает запуск до того, как начнётся выполнение.

Sage входит в набор инструментов Gen Agent Trust Hub. Внутри хаба уже есть Skill Scanner, который оценивает расширение до установки через облачную проверку и классификацию. Дальше подключается локальная часть, где проверяются уже конкретные действия. В результате получается сплошная цепочка: сначала решение об установке, затем контроль каждого шага во время работы.

Исходники Sage открыли для того, чтобы инструмент легче приживался в экосистеме. Агентные платформы развиваются вокруг открытых интеграций, плагинов и публичных API, закрытая защита обычно внедряется хуже. Плюс у отрасли пока нет общепринятого подхода к защите таких систем, поэтому открытый код позволяет сообществу править правила и добавлять проверки.

Первая версия Sage не пытается заменить классический антивирус. Фокус держится на самых рискованных точках: команды, правки файлов, загрузки по URL, установка пакетов. Отдельное внимание уделено зависимостям, потому что ошибка в названии ведёт к установке не того, а регистрация похожего имени помогает подсунуть вредоносный пакет. В проекте заявлено более 200 правил детекта, правила нацелены на внедрение команд, попытки закрепиться в системе, утечки учётных данных, обфускацию и атаки на цепочку поставок.

Поддержка сейчас включает Claude Code, Cursor и OpenClaw. Улучшения предлагают вносить через задачи в трекере, pull request и добавление поддержки для новых платформ. Расширяемость заложена изначально, поэтому дополнения не требуют переписывать всю архитектуру.