AI-иммунная система на перефирии: локальные агенты сдерживают угрозы за ~220 мс при <10% нагрузки

Агентная защита у края сети

Команда исследователей из Google и University of Arkansas at Little Rock предлагает распределённую агентную ‘иммунную систему’ для кибербезопасности, состоящую из лёгких AI-сайдкаров, расположенных рядом с рабочими нагрузками — Kubernetes-подами, API-шлюзами и пограничными сервисами. Вместо отправки необработанных телеметрических данных в центральный SIEM и ожидания батчевой классификации, каждый агент строит локальную модель поведения, детектирует аномалии, сверяет их с федеративной информацией и применяет меры на точке выполнения.

Цикл Profile → Reason → Neutralize

Profile: Агенты запускаются как сайдкары или демон-наузлы и формируют отпечатки поведения на основе трасс выполнения, путей системных вызовов, последовательностей API-вызовов и межсервисных потоков. Базелайны обучаются непрерывно и контекстно, адаптируясь к короткоживущим подам, rolling-обновлениям и autoscaling. Профилирование сохраняет структурные признаки (порядок, тайминги, набор пиров) для обнаружения отклонений, похожих на zero-day, а не опирается только на простые пороги по количествам.

Reason: При появлении аномалии — например, неожиданной волны высокоэнтропийных загрузок от низодоверенного субъекта или ранее невиданного графа API-вызовов — локальный агент вычисляет оценку аномалии и объединяет её с федеративной информацией: индикаторами и дельтами моделей, обменянными между пирами. Решение принимается на краю без центрального раунда; доверие вычисляется непрерывно для каждого запроса, что соответствует принципам zero-trust.

Neutralize: Если риск превышает контекстно-чувствительный порог, агент выполняет моментальную локальную меру, соответствующую принципу наименьших привилегий: карантин контейнера (пауза/изоляция), ротация учётных данных, введение rate-limit, отзыв токена или ужесточение политики для маршрута. Действия логируются с человекочитаемым обоснованием и записываются в хранилища политик. В отчёте автономный быстрый путь срабатывает примерно за ~220 мс против ~540–750 мс для централизованных ML-пайплайнов или обновлений межсетевых экранов.

Замеры и базовые сравнения

В Kubernetes-симуляции, моделирующей злоупотребления API и переходы по хостам, агентный подход показал Precision ≈ 0.91, Recall ≈ 0.87 и F1 ≈ 0.89. Базовые варианты — статические правила (F1 ≈ 0.64) и батчевый классификатор (F1 ≈ 0.79). Время от принятия решения до действия сократилось до ~220 мс для локального исполнителя по сравнению с ~540–750 мс у централизованных путей. Нагрузка на хост осталась ниже 10% CPU/RAM.

Интеграция с Kubernetes, API и системой идентификации

Агенты интегрируются с CNI-уровнем для получения признаков потоков, получают события от runtime контейнера для сигналов процессов и используют spans из envoy/nginx на точках API для графов запросов. Для работы с идентичностью агенты потребляют утверждения из IdP и вычисляют непрерывные оценки доверия с учётом поведения и окружения (например, геориска или состояния устройства). Меры выражены через идемпотентные примитивы — обновления микро-политик сети, отзыв токенов, квоты по маршрутам — что облегчает обратимые изменения и поэтапное ужесточение.

Управление и меры безопасности

Скорость без аудита неприемлема в регулируемых средах. Архитектура подчёркивает объяснимые журналы решений, фиксирующие, какие сигналы и пороги привели к действию, а также подписанные и версионированные артефакты политик и моделей. Описаны режимы с защитой приватности — хранение чувствительных данных локально и обмен лишь обновлениями моделей; для строгих режимов упомянута дифференциальная приватность. Для безопасности доступны ручные откаты и staged rollouts, например канарные запуски шаблонов смягчения в некритичных неймспейсах.

От симуляции к продакшену

Оценка проводилась в 72-часовой симуляции с инъекцией паттернов злоупотребления API и переходов по хостам. В реальных системах сигналы будут шумнее (шумные сайдкары, мультикластерные сети, смешанные CNI), что повлияет на детекцию и время исполнения мер. Тем не менее структура быстрого пути — локальное решение и локальное действие — топологически нейтральна и при наличии соответствующих примитивов в рантайме должна сохранять порядокность прироста в латентности. Рекомендуемый запуск в продакшене: начать с агентов в режиме наблюдения, затем включать низкорисковые смягчения и поэтапно открывать меры с высоким blast radius под контролем политик.

Место в ландшафте agentic-security

Работа развивается в контексте растущих исследований по защите агентных систем и применению агентов для задач безопасности. Параллельно разрабатываются модели угроз для agentic AI, безопасные протоколы A2A и тестирование уязвимостей агентов. При внедрении архитектуры стоит сочетать её с актуальной моделью угроз и тестовым набором, проверяющим границы использования инструментов и безопасность памяти агентов.

Основные выводы

• Периферийная ‘иммунная система’ из сайдкаров учится поведению, принимает решения локально и применяет меры наименьших привилегий.
• Заявленное время до смягчения ~220 мс (≈3.4× быстрее централизованных пайплайнов) с F1 ≈ 0.89 и нагрузкой <10% CPU/RAM.
• Подход поддерживает принципы zero-trust, оценивая идентичность и контекст при каждом запросе и уменьшая время нахождения злоумышленника в системе.
• Встроены механизмы управления: объяснимые логи, подписанные модели и политики, приватные обновления и staged rollouts.

Ссылка на статью: https://arxiv.org/abs/2509.20640