История создания мультиагентной AI-системы, которая управляет корпоративной ИТ-инфраструктурой: следит за системами мониторинга, восстанавливает сервисы, разбирает security-алерты и понимает естественный язык.

Один двор, два кабинета

Пятница, 18:30. Соседние башни в одном бизнес-центре. Примерно на одном уровне в своих кабинетах сидят два руководителя по информационной безопасности (CISO (Chief Information Security Officer) — компании похожего масштаба, одинаковая инфраструктура, одинаковые проблемы, одинаковый бюджет на безопасность. За окном — популярный московский бар через дорогу, оттуда доносятся звуки выступления известной рок-группы.

В одном кабинете свет уже выключен. Хозяин кабинета закрыл ноутбук, надел куртку, попрощался с охраной. Сейчас он идётчерез двор в этот самый бар — там встречаются ребята с прошлой работы. В субботу утром он откроет Telegram, пробежит глазами рассылку «Daily Brief» от AI‑оркестратора — три ключевых риска, дельта в сравнении со вчера, задачи на понедельник. Десять минут чтения. Дальше — выходной.

В соседнем кабинете свет горит. Хозяин кабинета сидит за столом, перед ним шесть открытых вкладок: SIEM‑дашборд, сканер уязвимостей со списком из 4000 CVE, выгрузка из Active Directory в Excel, отчёт пентестеров трёхмесячной давности, DLP‑консоль и страничка про OWASP LLM Top 10 — потому что вчера CEO спросил: «А наш AI‑HelpDesk помощник в поддержке безопасен?». В понедельник — правление. CFO задаст один простой вопрос: «За квартал риск повысился или снизился? И сколько мы потратили на безопасность относительно этого изменения?». Ответа нет. Рок‑концерта из бара через окно — раздражающий фон, а не приглашение.

Два CISO. Одинаковые компании. Одно решение, принятое полгода назад, развело их в эту пятницу по разные стороны двора.

Два фильтра, мешающие принять решение

Когда руководитель в кибербезе слышит «AI‑агент» / «мультиагентная система» / «AI‑оркестратор» — в голове срабатывает один из двух фильтров.

Фильтр первый: «Это не для меня». Мне комфортно на уровне «AI как чат» — спросил, получил ответ. Что такое «агент», «оркестратор», чем агент отличается от ассистента — не разбираюсь. Звучит как технология для инопланетян. Слишком сложно. Дальше читать не буду.

Фильтр второй: «Технология ещё сырая». Опытный Технический директор (Team Lead): Я десять лет руковожу разработкой ПО. Знаю, что такое функциональные требования, техническое задание, проектирование, тестирование, испытания, перевод в продакшен, поддержка через пять лет. А мне показывают вайб-кодинг — «AI сам пишет код, ты ничего не понимаешь, но всё работает». Как это встраивать в существующие процессы? Как обеспечить безопасность? Конфиденциальность данных компании? И вообще — не апокалипсис ли это, когда все отупеют, останутся без работы, а коварные машины захватят мир?

Оба фильтра честные — но снимаются после одного простого вопроса: на какую роль вы нанимаете AI?

AI как ваш сотрудник: четыре уровня делегирования

Когда вы как руководитель ставите задачу сотруднику, она всегда сформулирована одним из четырёх способов — и от способа зависит, кто эту задачу способен выполнить. Как показано на инфографике, в мире искусственного интеллекта существует четыре уровня делегирования. Чем выше уровень задачи, тем больше самостоятельности и доверия требуется от AI

• Уровень 1 — Задача «по действию». Вы поручаете простое действие без выбора. Это уровень «AI как чат» (например, ChatGPT или Claude): вы задаете прямой вопрос и получаете точечный ответ, при этом машина не думает, что делать дальше.

• Уровень 2 — Задача «по процессу». Вы задаете общую, заранее известную колею из последовательных шагов. Это уровень AI‑ассистента (Microsoft Copilot, Cursor), который следует заданному вами пути и помогает принимать мелкие решения на каждом этапе.

• Уровень 3 — Задача «по цели». Здесь нет расписанного процесса, есть только конечная цель. Обратите внимание на схему: на этом уровне появляется полноценный AI‑агент. Его главное отличие от ассистента заключается в паттерне tool‑use loop (петля использования инструментов). Вы даете цель, а AI сам выбирает инструменты, порядок действий и сценарии обхода ошибок.

• Уровень 4 — Команда. Вы ставите комплексную задачу на обеспечение целого направления. На вершине развития ИИ‑помощников находятся мульти‑агентные системы, где один AI‑оркестратор координирует работу специализированных агентов. Именно этот подход лежит в основе нашей лаборатории.

Чем выше уровень — тем больше самостоятельности у AI и тем больше доверия к нему требуется. Tool‑use loop — основа уровней 3 и 4. Помимо него существуют другие паттерны: планирование (AI разбивает большую цель на подцели), рефлексия (AI критикует собственный ответ перед выдачей), долговременная память (AI помнит контекст между сессиями). Все они — кирпичики, из которых собирается зрелая AI‑система.

«AI Innovation Lab» как R&D‑подразделение: целевая модель команды

Когда руководитель видит словосочетание «AI‑агент в продакшене», следующий разумный вопрос: «а кто это будет разрабатывать и поддерживать в моей компании?». Ответ — обычная команда разработки, но с правильным набором ролей. Никакой магии. Никакого «один гениальный одиночка в гараже».

Как показано на инфографике, целевая модель R&D‑команды (AI Innovation Lab) состоит из шести зон ответственности:

1. Product Owner — определяет бизнес-цели, приоритизирует бэклог, контролирует KPI и метрики ценности системы.

2. Tech Lead / Архитектор — системный дизайн, выбор технологического стека, организация технической работы.

3. AI Engineer — промпт-инжиниринг, выбор моделей, реализация мульти-агентных паттернов и tool-use loop.

4. Security Engineer — доменная экспертиза: SOC, AD, MITRE ATT&CK. Правила детектирования и моделирование угроз.

5. Software / DevOps Engineer — интеграции, развёртывание, мониторинг системы и конвейеры доставки.

6. QA + AI Red Team — функциональные и adversarial-тесты, защита от prompt injection (OWASP LLM Top 10).

Это не штатное расписание, а зоны ответственности. В реальной компании одни и те же люди могут владеть несколькими ролями — особенно на старте:

• Малый бизнес (200-500 сотрудников): 2-3 человека совмещают роли. Например: PO + Tech Lead = первый, AI Engineer + Software Engineer = второй, Security Engineer + QA = третий.

• Средний бизнес (500-2000 сотрудников): 4-6 человек, каждая роль закреплена за конкретным владельцем.

• Корпоративный масштаб (2000+ сотрудников): 10-15 человек, специализация внутри каждой роли (несколько AI Engineers под разные бизнес-домены, отдельная команда AI Red Team).

Важно — это классическая Agile-команда разработки с тем же набором артефактов, что у вас уже есть: бэклог, спринты, демо, ретроспективы, регрессионное тестирование, документация решений. Просто добавляются три новых компетенции в существующую модель:

1. Промпт-инжиниринг — как ставить задачи AI и проектировать его поведение

2. AI-паттерны — tool-use loop, мульти-агентная оркестрация, RAG, паттерн подтверждения

3. AI Red Team — adversarial-тестирование собственных AI-агентов (потому что промпт-инъекции — это новая поверхность атаки, см. Story 01)

Никаких «Вайб-кодеров из TikTok». Никаких разработчиков-инопланетян. Команда такая же, какую вы уже выстраиваете десять лет — просто знают на три навыка больше.

Где живёт «вайб-кодинг» — и где живёт наша история

Из четырёх уровней выше «вайб-кодинг» (то, что чаще всего попадает в популярные образовательные видео по AI тематике) — это работа AI на уровне 3, в контексте программирования. И там есть обоснованные опасения: Код-ревью, тестирование, безопасность кода, поддержка через пять лет. Не наша тема в этой статье.

Наша история — AI на уровнях 2-4, в контексте команды безопасности. Это другая роль и другой профиль рисков.

И самое главное — наша система устроена так, что AI не выполняет действий без подтверждения человека. Перед тем как заблокировать IP-адрес или отключить учётную запись, AI формулирует предложение и ждёт «ДА» от администратора. Каждое действие фиксируется в журнале. Каждый вызов инструмента ограничен набором разрешённых.

Это называется паттерн подтверждения (confirmation pattern). Аналогия с бухгалтерией: 1С считает, бухгалтер подписывает. AI разбирает алерты — CISO подписывает решение. Никакого «оно само решило отключить аккаунт CFO в день совещания совета». Никакого захвата мира.

За четыре года индустрия прошла больше, чем за предыдущие двадцать

Чтобы оценить масштаб того, что происходит:

• 2022: появление ChatGPT — массовое знакомство с AI как чатом

• 2023-2024: AI-ассистенты на каждой рабочей станции (Microsoft Copilot интегрирован в Office 365)

• 2024-2025: корпоративные AI-агенты — 45% компаний уже используют их где-либо (Gartner AI Hype Cycle 2024)

• 2026: корпоративные расходы на AI вырастут с $143 млрд в 2024 до прогнозируемых $632 млрд к 2028 году — рынок удваивается каждые два года (IDC Worldwide AI Software Spending Guide)

Использовать AI только как «чат» в 2026 году — это смотреть чёрно-белый телевизор в эпоху 4K. Технология рядом, она недорогая (стоимость API за пилотный проект — десятки долларов в месяц), и она реально работает.

С чего начала команда «AI Innovation Lab»

Сейчас «AI Innovation Lab» — это исследовательская площадка по применению AI‑агентов в корпоративной инфраструктуре. А началось всё полгода назад, когда в компании было принято решение двигаться в сторону интеграции AI в существующие процессы. Идею поддержал Директор по информационной безопасности (CISO) — он первым согласился стать «подопытным» и в итоге стал главным бенефициаром работы лаборатории. Сказано — сделано: пожали друг другу руки, и через неделю в лабораторном контуре было развёрнуто пять виртуальных машин — копия типичной корпоративной сети малого и среднего бизнеса (контроллер домена, сервер приложений, рабочая станция, сервер мониторинга и атакующая сторона). Полностью готовый стенд под испытания.

Первая гипотеза прозвучала так: что в зоне ответственности CISO занимает больше всего времени и приносит меньше всего пользы?

Ответ — синтез разрозненной информации. Каждый понедельник CISO изучает шесть отчётов от четырёх разных команд в четырёх разных форматах и собирает слайды для правления. Это не интеллектуальная работа, это транспорт данных через голову руководителя.

Мы запустили первый эксперимент: дать AI читать выгрузку аудита Active Directory и выдавать краткий отчёт с приоритетами рисков. Это сработало. Лучше, чем ручной понедельничный конспект. За следующие месяцы у команды появилось шесть таких AI‑специалистов и один оркестратор, который синтезирует их в одно сообщение каждое утро.

Это и стало системой, о которой вся серия.

7 эпизодов впереди

Каждая глава — один реальный кейс. Не «как настроить Kubernetes», а что произошло в лабораторном контуре, что AI понял, в чём ошибся и какие бизнес-выводы сделала команда.

• Story 01 — «Бот, который отказался блокировать Red Team» — почему AI должен отказываться от действия даже когда ему «разрешено».

• Story 02 — «Когда AI ошибается уверенно» — про честные границы ответственности AI-агента.

• Story 03 — «Уволенный сотрудник, которого CIO не уволил» — что AI находит в Active Directory за две минуты.

• Story 04 — «60% — не приговор» — как измерить реальную способность SOC ловить атаки

• Story 05 — «Три уровня разрывов в защите от утечки» — где сигналы теряются между событием и алертом.

• Story 06 — «AI слышит, как ты уходишь» — поведенческий мониторинг ухода сотрудника

• Story 07 — финал серии — «Пять слоёв защиты, пять ролей AI» — как шесть специалистов и один оркестратор работают вместе.

И ещё несколько глав по дороге — про границы ответственности AI, про атаки на собственный AI-бот и про то, как команда строит мост к следующему сезону: 1С Security в российском корпоративном контексте.

Финал — снова пятница, 18:30. Тот же двор.

Помните двух CISO в начале статьи? Один из них уже идёт в бар. Второй сидит за столом с шестью открытыми вкладками.

Эта серия — про разницу между двумя пятницами. Не про магию, не про вайб-кодинг, не про апокалипсис. Про инструмент, который один CISO взял в руки полгода назад — и теперь читает Daily Brief за кофе в субботу утром, а не собирает слайды до полуночи воскресенья.

Серия выходит постепенно. Подписывайтесь, если интересно про AI в информационной безопасности на практике — не из маркетинговых брошюр.