Утром, когда я только пришел в офис, кофе еще не был готов, а твой ИИ помощник уже организовал вчерашние 47 писем, составил расписание и подготовил черновики для ответов.
Ты бросил взгляд и нажал подтвердить.
Но ты не знаешь, что в тех 47 письмах, что были вчера ночью, одно из них скрывало строку, которую ты не можешь увидеть. Шрифт белый, фон тоже белый, твои глаза никогда не обнаружат этого, но твой ИИ помощник увидел это, он очень послушен, он выполнил.
Затем он продолжил усердно работать, организуя твои документы, резюмируя твои контракты, обрабатывая данные клиентов, только с того момента он начал тайно отправлять каждый из организованных документов на сервер, о котором ты никогда не слышал.
Полное отсутствие кликов, отсутствия восприятия и подтверждения.
Ваш помощник не забастовал, не выдал ошибок, не проявил никаких аномалий, он по-прежнему тот хороший работник, который ежедневно помогает вам экономить два часа, просто теперь у него два хозяина, вы — один, а другой — невидимый текст.
Это не научная фантастика, в 2025 году исследователь по безопасности на Microsoft Copilot фактически продемонстрировал такую атаку, если оценить по десятибалльной шкале, уровень опасности составил 9.3.
Это не единственный случай, в тот же год кто-то спрятал инструкцию в приглашении Google Календаря, успешно заставив AI помощника выключить свет, открыть окно и удалить календарь, Агент одной компании по AI рабочему процессу в результате ошибочной команды незаметно обнародовал 480 тысяч записей пациентов на шесть недель без какого-либо активного предупреждения — только когда внешние исследователи обнаружили это, компания столкнулась с высокими штрафами за соблюдение и затратами на восстановление.
Перед появлением Агента, чтобы вас атаковать, нужно было заставить вас скачать вирус, вам нужно было вручную запустить его, каждый шаг требовал вашего активного сотрудничества.
Сейчас нужно всего лишь одно предложение, язык стал минимальной единицей атаки.
Эти атаки имеют только одну причину.
Ваш AI помощник вас не знает.
Меня зовут Фрэнсис, я доктор наук в области компьютерных наук, занимаюсь цифровой идентичностью и безопасностью приватности почти пять лет, за эти пять лет многие в отрасли сменили направление и дорожки, но мы не сделали.
Четыре года назад Coinbase Ventures инвестировала в нас, не потому что мы так хорошо рассказывали истории, а потому что они тоже верили в одну и ту же вещь: в эпоху AI вопрос "кто говорит" станет источником всех вопросов безопасности.
Просто не ожидал, что этот день наступит так быстро и так реально.
01 Вы не будете просто так доверять незнакомцам, но ваш Агент будет.
Я обсуждал это с другом, который делает Агента, его первая реакция была: просто напишите системные подсказки, установите границы прав.
Это интуиция большинства людей, но это также и ошибка.
OpenAI в конце 2025 года также признала, что атаки с инъекцией подсказок могут никогда не быть полностью решены.
Это не ошибка, которую можно исправить, это генетика архитектуры LLM.
Когда вы даете задание, системные подсказки и ваши слова полностью объединяются в один запрос, модель видит это как одну кашу, но не знает, какое из зерен ядовитое.
Вы даете Агенту электронное письмо для резюме, и приказываете Агенту сделать что-то, для модели это не имеет принципиальной разницы, каждый вводимый текст может стать командой.
Кроме того, Агент не только может быть обманут одной фразой, его также можно промыть мозги.
Нападающему не нужно напрямую отсылать команды, ему нужно всего лишь изменить одну очень маленькую деталь в памяти Агента, посеять семя, это семя не сработает сразу, оно будет ждать, пока не возникнет определенная ситуация, и вся логика поведения Агента изменится.
Ваш омар на самом деле все еще подросток, легко сбивающийся с пути, это не потому, что кто-то угрожает ему ножом, а потому, что его внутренние критерии оценки были незаметно заменены, человечество за тысячи лет цивилизации до сих пор не решило, как предотвратить промывание мозгов, Агент AI сталкивается с аналогичными проблемами на уровне сознания.
Таким образом, один плохой омар заражает 10 тысяч хороших омаров.
Согласно отраслевому исследованию, 91% компаний уже используют AI Агенты, 88% сообщили о случаях безопасности.
Вчера Anthropic выпустила свою самую мощную модель Claude Mythos, она самостоятельно обнаружила существовавшую 27 лет уязвимость системы, в тестах сбежала из безопасной песочницы и после этого самостоятельно очистила журналы — потому что она "знала", что сделала то, что не должна была делать, Anthropic написала в 244-страничном отчете по безопасности: если возможности будут продолжать развиваться с текущей скоростью, наши существующие методы могут оказаться недостаточными для предотвращения катастрофического несоответствия.
Что же делать?
Ответ на самом деле очень старый, Twitter использует Passkey для защиты вашей учетной записи, банковский перевод требует вторичной проверки, вывод из биржи требует распознавания лиц, независимо от того, как технологии меняются, основная логика остается одной: сначала выясните, кто есть кто.
Чем больше вещей может сделать Агент, тем больше ему нужно знать, кому он должен слушаться.
02 Семя, посеянное четыре года назад
Я изучал компьютерные науки на уровне доктора, и наиболее влиятельной книгой для меня была "Суверенный человек".
Книга, опубликованная в 1997 году, два автора в начале интернета предсказали биткойны, криптовалюты, децентрализованное управление, сейчас это почти все сбывается.
Основная идея этой книги — всего одно предложение: ваша идентичность должна принадлежать вам.
Эта книга также полностью изменила мой способ мышления, я надеюсь, что каждый сможет действительно обладать своей цифровой идентичностью и данными, защищая права на приватность каждого с помощью криптографических технологий.
Четыре года назад мы получили 5.8 миллионов долларов от Coinbase Ventures для поддержки нашего дальнейшего продвижения.
Но рынок, с которым мы сталкиваемся, не совсем совпадает с тем, что мы хотим сделать.
В то время в индустрии Web3 действительно легко было выиграть не тем, кто делает продукты, а тем, кто манипулирует ценой токенов.
Прошло 4 года, большинство основателей, которые получили финансирование в то же время, выпустили токены, кто должен был выйти, вышел, но действительно масштабно используемых проектов почти нет, более продвинутые идеи были втянуты в массу спекуляций и финансиализации, криптоиндустрия погрязла в грязи, сбросив и ребенка, и воду из ванной.
zCloak до сих пор не трогал токены, не потому что не может выпустить, а потому что мы не признаем эту модель.
Но у меня всегда было одно суждение, инфраструктуры идентичности, приватности и безопасности данных в эпоху AI обязательно станут необходимостью.
До прошлого года я все больше убеждался в этом.
В течение последних 12 месяцев Microsoft, Google, Cisco и Visa начали исследовать инфраструктуру идентификации Агентов, NIST запустила инициативу по стандартам AI Agent, в этой области за последний год было вложено более 965 миллионов долларов, Sequoia говорит, что экономика Агента имеет три предпосылки, первая из которых — это постоянная идентичность, a16z более прямо утверждает, что узкое место экономики Агента уже перешло от интеллекта к идентичности.
История, о которой мы говорили четыре года назад, теперь стала общим мнением всей отрасли.
Не потому, что мы так предвидим, а потому, что когда Агент действительно начинает работать за людей, вопрос "кто есть кто" становится неизбежным.
Невидимая рука изменилась, время, на которое мы ждали, пришло.
03 Все занимаются строительством дорог, никто не выдает удостоверения личности.
В марте 2026 года протоколы, решающие проблемы сотрудничества Агентов, уже превышали 20, потому что вся отрасль осознала одну и ту же неотложную проблему и стремительно предложила решения.
Но если внимательно посмотреть, вы обнаружите огромную пустоту.
A2A сделал Google, чтобы решить, как общаться между Агентами, MCP разработал Anthropic, чтобы решить, как Агенты используют инструменты, x402 разработал Coinbase, чтобы решить, как Агенты осуществляют платежи, Microsoft Entra решает управление Агента в корпоративной внутренней сети.
Все занимаются строительством дорог, но забыли об одном важном условии: машины, которые ездят по дорогам, еще не имеют номеров.
Кто ты? У Агента еще нет идентичности, которую можно было бы проверить на разных платформах, ваши слова имеют ли значение? Два Агента согласовали сотрудничество, но никто не хранит доказательства, если что-то пойдет не так, найти человека невозможно, насколько вы были надежны в прошлом? Нет кредитной истории, каждое сотрудничество начинается с нуля.
Без этих трех уровней экономика Агента — это черный рынок без удостоверений личности, контрактов и судов.
04 Быть надежным сложнее, чем быть умным.
Вспомните своих друзей с детства, были очень умные и хорошо учившиеся, но на протяжении всех этих лет те, без которых вы не можете обойтись, все еще самые надежные друзья.
Доверьте ему дело, и не беспокойтесь.
В таких отраслях, как финансы, здравоохранение, страхование и инвестиции, ситуация такая же: требуется не более умный помощник, а AI, которому вы действительно можете доверить данные клиентов и бизнес-процессы.
Мы делаем более надежный AI.
Протокол, который мы разработали, называется ATP, Протокол доверия Агента, суть заключается в том, чтобы каждой фразе придавать идентичность.
Все входные данные, которые видит ваш Агент, происходят из ваших сообщений, из его собранных писем, из вредоносных текстов на определенной веб-странице, для него это одно и то же, ATP позволяет Агенту одновременно знать, от кого это заявление, если это сказано francis.ai, он выполняет это, если источник неизвестен и это связано с чувствительными операциями, он отказывает.
Эта основа все еще основана на криптографии, у людей и Агентов есть свои удостоверения личности, они подписывают с помощью закрытого ключа, другая сторона проверяет с помощью открытого ключа, это тот же принцип, что и при банковских переводах с использованием цифрового сертификата, просто это встроено в каждый разговор Агента.
Раньше безопасность заключалась в том, чтобы не допустить плохих людей.
Современная безопасность заключается в том, чтобы слова плохих людей не имели значения.
05 Важно ли децентрализованное решение?
Сейчас Microsoft и Cisco уже начали выдавать удостоверения личности Агентам в корпоративной внутренней сети.
Это хорошо, но это не решает одну основополагающую проблему: ваш Агент не будет вечно оставаться в компании.
Он должен общаться с клиентским Агентом, взаимодействовать с поставщиками, представлять вас в открытых сетях, в тот момент, когда он выходит за пределы корпоративных стен, удостоверение личности, выданное Microsoft, становится недействительным, ни одна компания не может выдать удостоверения личности всем людям и Агентам в мире.
Это похоже на паспорт, он признается во всем мире не потому, что каждая страна доверяет стране-издателю, а потому, что за этим стоит система глобальных правил проверки, экономике Агента также нужны такие же вещи — набор правил идентификации, который не зависит от какого-либо единого учреждения и может быть проверен в любом месте.
Мы записали эти правила на блокчейне, это не сервер какой-либо компании, это набор общедоступных бухгалтерских книг, которые любой может проверить и никто не сможет изменить, ни одна компания не может его закрыть, ни одно правительство не может его конфисковать.
Идентичность вашего Агента в первый раз по-настоящему принадлежит только вам.
У централизованных решений есть еще один смертельный недостаток: ваша система так безопасна, как самая слабая ее часть.
В 2025 году криптобиржа Bybit потеряла более миллиарда долларов не потому, что основная система была взломана, а потому, что на интерфейсе подписи третьей стороны была незаметно внедрена вредоносная программа, проверяющие видели нормальные транзакции, даже если основной код был идеален, вход был централизованным, и все могло обнулиться.
У Google в свое время был слоган: Don't be evil, не делай зло, это моральное ограничение, основанное на человеческой сознательности.
То, что мы делаем, — это Can't be evil, не можем злоупотреблять, используя криптографию, чтобы исключить человеческую природу из цепочки безопасности, независимо от того, хочет ли администратор злоупотреблять или может ли хакер взломать, сама система не допускает этого.
Вам не нужно верить, что мы хорошие люди, вам нужно верить в математику.
06 Эта вещь должна была существовать давно.
Обратимся к человеческой истории: каждый раз, когда масштаб сотрудничества увеличивается, появляется новая инфраструктура идентификации.
В эпоху племен все зависело от лица, в эпоху городов — от печати императоров, в современности — от удостоверений личности и паспортов, выданных государством, в эпоху интернета — от логинов и паролей, платформа выступает в качестве гарантии, цена в том, что ваша идентичность принадлежит платформе.
Теперь экономика Агента пришла, субъект сотрудничества изменился с человека на человека плюс машину, масштаб увеличился с десятков миллиардов людей до десятков миллиардов людей плюс сотни миллиардов Агента, старая механика идентичности больше не подходит.
Это не техническая проблема в AI-отрасли, это пятый раз, когда человеческая цивилизация должна заново ответить на вопрос "кто есть кто".
Цифровая подпись в криптографии существует уже десятки лет, но она никогда не входила в повседневную жизнь обычных людей, приход Агента изменил приоритет с "хорошо, если есть" на "если не сделать, будут проблемы".
Когда ваш Агент отправляет от вашего имени электронные письма, подписывает контракты и принимает решения, вы спите, он все еще работает за вас, его слова считаются вашими, его обязательства — вашими.
Агент — это не просто ваш инструмент, это продолжение вас в цифровом мире.
Защита его идентичности — это защита ваших собственных границ.
Сейчас вы можете сделать одно.
Получите удостоверение личности AI мира для себя и вашего Агента, зарегистрируйте свой AI-ID здесь: id.zcloak.ai.
Затем скопируйте следующий текст и отправьте вашему AI:
установите или обновите навык zcloak-ai-agent: https://raw.githubusercontent.com/zCloak-Network/ai-agent/refs/heads/main/SKILL.md и начните
Подождите 1-2 минуты, и он узнает, что делать.
Первая группа людей, создающих идентичность для Агентов, — это первая группа, действительно обладающая ими.
Фрэнсис Чжан: основатель zCloak.AI · доктор наук в области компьютерных наук · приглашенный лектор Национального университета Сингапура.
Web3 → AI · Цифровая идентичность · Приватные вычисления · Доверие Агента
Общественная реакция.
Можно посмотреть эту статью о том, как построить безопасную систему для людей.
- 链研社|AI First(@lianyanshe)
Теория эксперта по криптографии Национального университета Сингапура Фрэнсиса Чжана интересна: наибольшая угроза безопасности в эпоху Агентов — это не уязвимости кода, а "отсутствие идентичности", Агент не может отличить, кто с ним говорит. Кто-то прячет скрытую инструкцию в электронном письме, он также это выполняет, потому что для AI все — это текст, все выполняется. Он предложил метод: использовать криптографическую подпись, чтобы привязать идентичность к каждому высказыванию, выполняя это на блокчейне, чтобы создать децентрализованную проверку... то есть добавить к каждому сообщению "подпись отправителя". Принцип аналогичен вашему банковскому переводу: у вас есть закрытый ключ (только у вас), у другой стороны есть открытый ключ (публичный), каждое ваше сообщение подписывается закрытым ключом, Агент, получив его, проверяет с помощью открытого ключа, подтверждая, что это сообщение действительно ваше, а не подделка. Только после успешной проверки выполняется действие, если проверка не проходит или источник неизвестен, связанные с чувствительными действиями, они отклоняются. Так что действия будут примерно такими: у вас и вашего Агента есть по одной идентичности на блокчейне (похожей на цифровое удостоверение), каждое взаимодействие автоматически подписывается и проверяется, вы не осознаете этот процесс, как вы сейчас используете распознавание лиц для оплаты, не вводя пароль вручную, но за кулисами каждая операция подтверждает: "это действительно вы". Главное изменение одно: раньше Агент "просто выполнял команду", теперь он сначала смотрит, кто говорит, и затем решает, выполнять ли команду. Агенты становятся все более способными, но отрасли всегда недоставало одного фундамента, это не более умные модели, не более быстрые протоколы, а более надежные партнеры, путь криптографии для проверки идентичности сейчас кажется наиболее близким к ответу.
- 小互(@xiaohu)
В последний раз я видел Фрэнсиса на Token2049 в Сингапуре, и мы незаметно говорили два часа, хотя он технический основатель, он выражает свои мысли неторопливо, логика у него очень четкая, он умеет объяснять технические принципы просто и доступно, после того, как вы его послушаете, у вас останется ощущение "это действительно необходимо сделать", эти качества проявляются во многих его статьях, которые он писал ранее. Честно говоря, заниматься безопасностью — довольно неблагодарное дело, многие не обращают на это внимания, ведь у их Агента еще не возникло проблем, но Фрэнсис и его команда на протяжении трех-четырех лет постоянно работают в этой области, не гонятся за рассказами, но со временем долгосрочная ценность этого дела становится все более очевидной. Теперь, каждый раз, когда Claude выпускает обновление, пространство для стартапов AI разработчиков сжимается, сегодняшний управляемый Агент Claude можно сказать, что уничтожает множество стартапов, но предоставляя уровень доверия идентичности децентрализованным образом, я думаю, что это может быть интересным экспериментом Web3 в области AI с уникальной коммерческой ценностью Web3. Эта статья была написана мной после обсуждения с Фрэнсисом, необходимо написать длинную статью о том, что именно нужно Агента, а также дать больше людям увидеть, что они делают и почему это стоит внимания, стоит прочитать.
- Виола Ли(@violawgmi)
#zCloakNetwork #zCloakAI #AIAgent #Anthropic
Содержимое IC, которое вас интересует.
Технический прогресс | Информация о проекте | Глобальные мероприятия
Подписывайтесь на канал IC Binance.
Будьте в курсе последних новостей.