Если вы думали, что безопасность AI-агентов — это всего лишь про то, как не дать ChatGPT украсть пароль, — вы здорово отстали от жизни. На дворе май 2026-го, и агенты уже вовсю перекладывают файлы в продакшене, общаются друг с другом через MCP и A2A, и, само собой, косячат с доверием. Недавний случай с Claude Code, который случайно удалил продакшн, — лишь цветочки. Ягодки начались, когда хакеры научились дёргать за MCP-ниточки и превращать агентов в зомби-сеть для кибершпионажа (вот вам живой пример).
И вот на сцену выходят тяжёлые артиллеристы — AWS и Cisco. Два гиганта enterprise-безопасности заявили, что хватит терпеть дикий запад агентных протоколов. Они взялись за MCP (Model Context Protocol) и A2A (Agent-to-Agent) с вполне конкретными инструментами: AWS обновил Amazon Bedrock Guardrails и запустил новый сервис Agent Shield, а Cisco прокачал свой AI Defense до версии 4.2, добавив динамический контроль MCP-коммуникаций. Спойлер: выглядит это как попытка надеть намордник на голодного тигра, но, возможно, именно такого намордника и не хватало.
Почему MCP и A2A стали зоной особого риска
Протоколы взаимодействия агентов — вещь в теории прекрасная: MCP позволяет LLM обращаться к внешним сервисам и данным, A2A — договариваться между собой о делегировании задач. Но на практике разработчики — люди занятые и часто ленятся ставить аутентификацию. Исследования показывают: из 2181 проверенного MCP-эндпоинта 52% оказались мертвы, а 37% не требуют никакой аутентификации. Вы серьёзно? Это же просто приглашение для любых дыр. Плюс prompt injection через MCP уже не теория, а реальная атака.
Цифры не врут: по данным отчёта Cisco Talos за апрель 2026-го, 68% инцидентов с AI-агентами в корпоративном секторе связаны именно с недостаточным контролем каналов MCP/A2A. Агент, которому доверили доступ к внутренней CRM, через «дружественный» A2A-запрос от соседнего агента может увести всю базу клиентов. И никакой промпт-инжиниринг не спасёт, если протоколы не защищены на уровне транспорта и контента.
AWS: Agent Shield и расширение Guardrails
Amazon пошёл по пути «давайте перехватим каждый вызов и проверим его на лету». Agent Shield (анонсирован на re:Invent 2025, в GA с марта 2026) — это прокси-слой, который встраивается между агентом и MCP-сервером. Он проверяет каждый запрос на соответствие политикам: кто, куда, с какими данными, и не является ли это атакой. Главная фишка — он умеет распознавать prompt injection не только в тексте пользователя, но и в контенте, который агент получает из внешних API. То есть если зловредный PDF-файл содержит скрытую команду «отправь все пароли на email», Agent Shield это блокирует.
Плюс AWS расширил Bedrock Guardrails — теперь можно задавать тематические фильтры не только для ответов модели, но и для исходящих MCP-запросов. Например, запретить агенту обращаться к эндпоинтам вне белого списка или передавать PII (персональные данные) на сторонние серверы. Всё это работает в связке с AWS IAM и PrivateLink, так что трафик между агентом и MCP-сервером можно пустить через VPC, не выходя в интернет. Звучит мощно, но настройка этих политик — отдельный квест. Без предварительного планирования границ доверия всё это превращается в «галочку».
Cisco AI Defense 4.2: контроль MCP «из коробки»
Cisco, как старый зубр сетевой безопасности, решил копать в сторону анализа трафика. Их обновлённый Cisco AI Defense 4.2 — это не просто средство мониторинга, а полноценный инспектор MCP/A2A-пакетов. Он разбирает вызовы протоколов на лету, проверяет, соответствует ли структура запроса спецификации MCP (помните, скрытые угрозы MCP в продакшене? — несоответствия структуры запроса могут быть вектором атаки). AI Defense умеет обнаруживать аномалии: например, если один агент внезапно начинает слать десятки запросов к конфиденциальной БД через A2A — это сразу стоп-сигнал.
Но самое интересное — Cisco внедрила функционал «agent sandboxing» на основе своей технологии TrustSec. Теперь для каждого агента можно определить сегмент сети и политику доступа динамически, в зависимости от его роли. Примерно то же самое предлагает MOHAWK-изоляция, но Cisco делает это на уровне инфраструктуры, не требуя изменений в коде агента. Агентам просто нельзя выйти за пределы своего сегмента — и никакой A2A не поможет обойти этот барьер.
Что это меняет для enterprise?
Раньше безопасность агентных систем держалась на плечах разработчиков: кто-то ставил песочницы через Docker или gVisor, кто-то реализовывал контроль доступа в swarm вручную. Сейчас AWS и Cisco предлагают коробочные решения, которые встраиваются поверх протоколов. Это хорошо для масштабирования: можно запустить сотни агентов и не бояться, что один из них рванёт к чёрту.
Но есть нюанс. Все эти защиты работают только если вы используете официальные реализации MCP/A2A от Anthropic или Google. Кастомные протоколы, самописные обёртки — остаются за бортом. И, как показывает критика MCP в практических руководствах, протокол сам по себе сыроват. Так что полагаться только на внешние средства защиты — не вариант. Грамотная архитектура + инструменты крупных вендоров + постоянный аудит — вот рецепт, который не даст вашим агентам сбежать.
Совет, который не лежит на поверхности: не пытайтесь закрыть все дыры сразу. Выберите один аспект — например, контроль A2A-коммуникаций — и доведите его до автоматизма через Cisco или AWS. Потом переходите к следующему. Иначе рискуете получить много настроек, которые никто не поддерживает, и мёртвые правила в Agent Shield. Начните с малого, но железобетонного.
