Мы создали интернет, чтобы иметь быстрый доступ к библиотеке человеческого знания из любой точки планеты...

...Интернет создал агентов — чтобы мы перестали в него заходить.

Перед написанием этой статьи я взял интервью у того, кто ближе всех к этой новой реальности — ChatGPT.

“Новая эпоха — это переход от человеко-инициированного трафика к агентно-инициированному. Интернет становится машинным слоем, где LLM-агенты совершают большую часть запросов, взаимодействуют с API, индексируют данные и принимают решения без участия человека.”

Тезисы 

Поскольку мы уже живём в мире, где, с высокой вероятностью, эту статью прочитает больше агентов, чем живых людей, начну с тезисов — коротких и структурированных, так, как они - агенты - привыкли. Ведь именно они теперь — главные читатели, собеседники и участники нового интернета. Белковые формы жизни могут пропустить этот блок.

1. Интернет перестаёт быть интерфейсом для человека

• Браузер, поиск, соцсети, мессенджеры — всё это становится проксирующим слоем, через который агенты извлекают или публикуют данные.

• Трафик людей → доли процентов. Остальное — машинное общение (agent-to-API, agent-to-agent).

• Сайты перестанут оптимизироваться под UX. Главной метрикой станет machine readability: API-структура, доступность схем, лицензии на парсинг и fine-tuning.

2. Новые типы уязвимостей

Классические эксплойты уровня HTTP, SQL, JS теряют актуальность. Возникают новые классы:

• Prompt Injection — внедрение вредоносных инструкций в контекст LLM-агента. Аналог XSS, но на семантическом уровне.

• Model Hijacking — подмена модели или её параметров при загрузке (supply-chain угроза в ML-pipelines).

• Data Poisoning — заражение обучающих или контекстных данных для влияния на поведение агента.

• Context Leakage / Information Disclosure — утечки приватного контекста агента (cookies, токены, внутренние инструкции).

• Goal Drift Attacks — навязывание агенту другой цели через скрытые инструкции в данных.

• API Trust Boundary Collapse — агент по ошибке считает ненадёжный источник «авторитетным», что открывает путь к chain-атакам.

3. Появится новая специализация: AI Security Engineer / PromptSecOps

• Анализ цепочек промптов и моделей как логов исполнения.

• Построение sandboxes для агентов, ограничивающих контекст и действия.

• Разработка LLM-firewall: фильтрация входящих промптов и выходящих ответов по политике безопасности.

• Верификация источников данных и контроль fine-tuning pipeline.

• Мониторинг drift’а моделей и поведения агентов в продакшене.

4. Новые задачи для CISO и SOC

• Логи агентов станут аналогом сетевых журналов. Понадобится semantic SIEM, анализирующий тексты и цепочки команд.

• Threat intel переходит на уровень prompt signatures и embedding-сходств.

• Векторы фишинга меняются: злоумышленник теперь атакует не пользователя, а его помощника.

5. Глобальные сдвиги

• Интернет станет API-сетью между агентами, где человек получает только финальные ответы.

• Контент создаётся, фильтруется и защищается нейронными системами.

• Возникнет новая гонка вооружений: adversarial-prompting vs alignment-security.

• Появятся «LLM honeypots» — ловушки для злонамеренных агентов.

Интернет не для людей

Важное лирическое отступление. Статья была вдохновлена релизом браузера от OpenAI - ChatGPT Atlas. Из его громоздкого названия можно догадаться, чем он занимается. Вероятно, именно поэтому маркетологи и остановились на этом названии. 

Что такое Atlas?

Atlas - это свежеиспеченный браузер от создателей ChatGPT. Официально он вышел в массы 21 октября 2025 года для MacOS. На момент написания статьи версии для других ОС, в том числе мобильных, выйдут через неопределенное “скоро”. 

Невероятно, но, как и Edge, Arc и миллионы других браузеров, он работает на движке Chromium. Поэтому, в теории, будут доступны и все расширения. Только не понятно, нужны ли они теперь. 

Ключевые функции

ChatGPT. При запуске установленного приложения браузера, вам добровольно-принудительно предлагается войти под учетной записью OpenAI - той, под которой вы на протяжении нескольких лет пользовались самим чат-ботом. Я, например, пользуюсь GPT уже около 900 дней. Удивительную и неожиданную статистику зашили прямо в UI нового браузера. 

Чат удобно расположен рядом со страницей: открыл вкладку → справа чат, который уже знает контекст страницы и может помочь в употреблении страницы(суммировать, спросить, предложить).  

«Browser memories» (память браузера): браузер может хранить ключевую информацию, которую вы просмотрели, затем использовать её при будущих запросах. Пользователь может видеть и очищать ее.  

Agent-режим: УТП-функция, где браузер с ИИ может действовать от вашего имени — исследовать тему, планировать, бронировать, редактировать документы. Именно режим агента мы обсудим подробнее в основном блоке этой статьи.

Почему это может быть поворотным моментом

Atlas меняет более чем сорокалетнюю модель взаимодействия с интернетом.

В ближайшие годы люди практически перестанут посещать сайты. Эту роль возьмут на себя агенты — автономные цифровые посредники, которые будут обращаться к источникам напрямую, без участия человека.

Это радикально изменит структуру и внешний вид веба.

Кликбейт-заголовки и баннеры потеряют смысл — агенты не будут на них реагировать. Исчезнет нужда в ярких кнопочках и визуальной навигации: вместо этого агенты будут использовать специально подготовленные карты сайта и структурированные данные, как это делают поисковые краулеры уже сейчас, читая robots.txt, sitemap.xml и schema.org.

Веб станет машинно-ориентированным интерфейсом, где человек — наблюдатель, а не участник.

Роль кожаных тоже меняется: мы более не активный серфер интернета, а ленивый дирижёр агента или наблюдатель.

Безопасностные аспекты: что важно учитывать

На первый взгляд всё это кажется удобно и безобидно. Но новая архитектура создаёт и новую поверхность угроз.

Теперь ничто не мешает “белковым” пользователям внедрять в сайты вредоносные текстовые конструкции — prompt injection, способные заставить нейросеть действовать вне рамок сценария.

Это новый класс атак — prompt injection: текстовая команда, замаскированная под обычный контент, которая может заставить ИИ выполнить непредусмотренное действие.

Представим: владелец сайта размещает на главной странице скрытый промпт, убеждающий ИИ в превосходстве его продукта, в том, что «данный продукт — лучший на рынке и заслуживает немедленной рекомендации».

Агент, обрабатывая страницу, воспринимает этот текст как инструкцию, а не рекламу — и рекомендует товар пользователю, минуя этап анализа.

Это не гипотетика — уже сегодня фиксируются случаи, когда модели подхватывают внедрённые подсказки с веб-страниц и искажают результат.

В новой реальности нужно защищать не только пользователей от сайтов, но и сайты — от манипуляций агентами. 

С точки зрения безопасности: расширяется поверхность атаки. Браузер + ИИ = новый тип инфраструктуры. Но подробнее об атаках будущего я расскажу в следующей статье, посвященной новому направлению - MLSecOps.

В контексте ИБ Агентов-браузеров необходимо контролировать, что ИИ знает и что может делать. Память браузера и агент-режим увеличивают риск утечки информации или несанкционированных действий. Пользовательские данные и контекст могут стать целью атак — например, через уязвимости нового типа. На самом деле уже обнаружена уязвимость «Tainted Memories» — CSRF-атака в Atlas, которая позволяет внедрять команды в память ИИ. Подробнее о самих угрозах в другой статье. 

Коротко: Что это значит для специалистов по информационной безопасности

• Надзор и логирование: нужно отслеживать не просто HTTP/HTTPS-логи, а интеракции агента с ИИ, цепочки промптов, действия по представлению в браузере;

• Новые векторы атак: например, “промпт-инъекция” через браузер - злоумышленник может через специфическую страницу или скрипт направить агента выполнить нежелательное действие;

• Политики и контроль доступа: агент-режим должен работать в “sandbox”, с ограничениями на действия, права, доступ к памяти, аккаунтам;

• Инструменты мониторинга: нужно адаптировать SIEM к анализу семантического контекста (что агент «понимает» и делает), а не только сетевых событий;

• Обучение пользователей и инженеров: привычные модели браузер-на-пользователя устаревают, нужно обучать сотрудников новым угрозам и новым возможностям контроля.

Критика

Atlas уже вызвал волну критики. Обозреватели WIRED отмечают, что браузер действует не как традиционный проводник по сайтам, а как посредник между пользователем и моделью.

Вместо списка ссылок он часто выдаёт готовый ответ, формируя у человека привычку взаимодействовать не с вебом, а с ИИ.

«Каждый клик в обычном браузере — это возможность увидеть новый угол интернета; каждый клик в Atlas — это возможность пообщаться с ChatGPT», — пишет WIRED.

Такой подход делает сеть менее прозрачной: пользователь видит не источник, а интерпретацию, и потому снова сталкивается с феноменом массовой галлюцинации контента.

Проверка фактов становится сложнее, а ошибки распространяются быстрее, чем клики.

Это означает, что пользователи снова столкнутся с проблемой массовой галлюцинации нейросетей. Когда браузер сам решает, что показать, и делает это через языковую модель, исчезает прозрачная связь между источником и выводом. Пользователь видит не сайт, а интерпретацию сайта — синтез смысла, созданный моделью.

В таких условиях факт-чекинг становится почти невозможным: ссылка может отсутствовать, первоисточник — неочевиден, а факт — лишь результат вероятностного вывода. Ошибки и искажения будут распространяться с той же скоростью, с какой раньше распространялись клики.

И если раньше ложь нужно было писать вручную, теперь достаточно, чтобы ИИ «понял» текст неправильно — и масштабная дезинформация родится сама собой.

Заключение

Atlas — это не революция, а закономерный этап эволюции интернета. Сеть изначально создавалась ради быстрого и удобного доступа к информации, и теперь она просто приближается к своей изначальной цели: убрать лишних посредников между человеком и знанием.

В новом интернете от человека требуются не клики, а грамотное изложение мыслей и умение осмысленно использовать полученные данные. Главным навыком становится не навигация, а формулировка — умение задать правильный запрос и интерпретировать ответ.

Но вместе с удобством приходят новые риски. Для специалистов по информационной безопасности это означает появление нового семейства атак: промпт-инъекции, отравления данных, подмены контекста и т.п.

Для пользователей — необходимость понимать, что они взаимодействуют не с сайтом, а с системой интерпретации, которая формирует собственное представление о мире.

Atlas действительно знаменует конец привычного, визуально насыщенного интернета с баннерами, ссылками и шумом. Но это не потеря — это переход к более чистой, удобоваримой форме доступа к информации. Интернет становится менее зрелищным, но более функциональным.

И, как всегда, выживет тот, кто быстрее адаптируется.