Исследователи: AI‑агенты разработки расширяют поверхность атак за пределы исходного кода

13 мая 2026 года Bernardo Quintero (Security Engineering Director, VirusTotal) и Daniel Kapellmann Zafra (Threat Intelligence Strategy Lead, GTIG) опубликовали материал, в котором заявили: по мере внедрения автономных AI‑агентов в рабочие процессы разработчиков традиционное понятие «вредоносного файла» нужно пересмотреть. Агентам дают доступ не только к исходному коду, но и к сопутствующим артефактам — и именно это расширяет поверхность атаки и повышает риск обхода существующих защитных мер. Это особенно важно для команд разработки и безопасности, которым придётся иначе оценивать доверенные файлы и конфигурации.

Авторы подробно описывают, как работают такие агенты: они интегрируются в IDE, редакторы, терминалы и рантаймы расширений, часто имея доступ к локальным файлам, выполнению команд и внешним сервисам. В результате вектор атаки выходит за рамки исходников и включает файлы репозитория, постоянные инструкции для агентов, настройки рантайма и пакеты расширений — всё, что влияет на то, чему агент доверяет и какие действия он выполняет.

Для защиты от этих угроз авторы предлагают переход к семантическому анализу: необходимо не только обнаруживать подозрительные байты или строки, но и понимать реальный набор инструкций, логику и контекст, которые передаются агенту. В материале подчёркивается роль инструментов, способных извлекать намерение и контекст из файлов, связанных с агентами: примером служит VirusTotal Code Insight, используемый в рамках возможностей threat intelligence в Google Threat Intelligence для выявления операционного смысла и связывания артефактов с широкими кампаниями угроз. Исследователи структурировали расширенную поверхность атаки в четыре категории: «what executes» (то, что выполняется), «what instructs» (то, что инструктирует), «what connects» (то, что подключает) и «what extends» (то, что расширяет).

«what extends» означает, что расширения добавляют сторонний код с доступом к файлам и учётным данным. Практические выводы нацелены на команды разработки и защиту: проверять нужно не только исходный код, но и файлы конфигурации, инструкции агентов, параметры рантайма и пакеты расширений; учитывать повторное использование инструкций как фактор цепочек поставок; и интегрировать агентную телеметрию и инструменты вроде VirusTotal Code Insight. Авторы подчёркивают, что только комбинированный подход — семантический анализ плюс корреляция телеметрии — позволит выявлять конфигурации, которые обходят защитные механизмы и маскируют риски в supply‑chain.