NIST разрабатывает стандарты безопасности для AI-агентов

Национальный институт стандартов и технологий США (NIST) запустил инициативу по разработке стандартов безопасности для AI-агентов — систем, которые автономно выполняют действия через API: отправляют запросы к внешним сервисам, модифицируют данные, управляют инфраструктурой. Это первая попытка регулятора определить, какие требования безопасности должны предъявляться к ПО, которое «действует» от имени человека, но без его прямого участия в каждом шаге.

Почему это нужно сейчас

AI-агенты быстро проникают в корпоративные среды: от автоматизации IT-операций (Cisco Zero Trust, Anthropic Managed Agents) до управления закупками и клиентским сервисом. Но стандартов безопасности для них не существует. Что происходит, если агент ошибётся и удалит продакшн-базу? Кто несёт ответственность — разработчик агента, провайдер модели или компания-заказчик? Как аудировать действия, которые агент совершает автономно?

NIST не даёт ответов на все вопросы — пока это framework для обсуждения, а не обязательный стандарт. Но сам факт того, что главный институт стандартов США берётся за тему, задаёт тон: AI-агенты — не игрушка, а инфраструктура с реальными рисками, и её нужно регулировать до того, как произойдёт крупный инцидент.