Глава Signal: AI-агенты с доступом к ОС — экзистенциальная угроза для шифрования

WIRED включил AI-агентов с полным доступом к операционной системе в список ключевых технологических трендов 2025 года. Издание отмечает: если раньше главной проблемой приватности был массовый скрейпинг публичного интернета для обучения нейросетей, то теперь компании нацелились на личные данные пользователей. Президент Signal Foundation Мередит Уиттакер называет это экзистенциальной угрозой для защищенных приложений.

В ноябре на конференции Ignite 2025 Microsoft объявила о превращении Windows 11 в "агентную ОС". AI-агенты интегрируются в системный интерфейс через функцию Ask Copilot, работают в фоновом режиме и получают доступ к файлам, приложениям и данным на устройстве. Для взаимодействия с системой используется Model Context Protocol — открытый стандарт, позволяющий агентам обнаруживать инструменты и другие агенты через защищенный реестр.

Уиттакер предупреждает: если AI-агент работает на уровне ОС, шифрование на уровне приложений теряет смысл. Для выполнения задач от лица пользователя, агент будет получать доступ к его приложениям, в том числе контактам и сообщениям в Signal — а ведь мессенджер делает ставку на их шифровке. "Этот доступ становится вектором атаки и обнуляет сам смысл нашего существования", — заявила Уиттакер в интервью Fortune на конференции Slush в Хельсинки. По ее словам, интеграция агентов на уровне операционной системы ведется «крайне безрассудно и без учета базовых принципов кибербезопасности и приватности».

Проблема касается не только мессенджеров. Агент, составляющий плейлист или бронирующий ресторан, получает доступ к рекомендательным алгоритмам сервисов, платежным данным и контактам пользователя. При этом люди, чьи данные оказываются в зоне доступа агента через чужие контакты, не давали на это согласия. Дополнительный риск — атаки через prompt injection: злоумышленники могут встраивать скрытые инструкции в веб-страницы, заставляя агентов выполнять вредоносные действия.

Уиттакер требует создать механизмы opt-out на уровне разработчиков — возможность запретить агентам доступ к своему приложению. "Нам нужны четкие способы сказать: не лезьте к нам, если вы агент", — заявила она в интервью WIRED. Глава Signal также настаивает на формальной верификации компонентов агентных систем перед их интеграцией в государственную и военную инфраструктуру.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.