В этой серии из трёх статей рассматриваются вопросы безопасности при запуске кодогенерирующих агентов в CI/CD, приводятся варианты реализации взаимодействия с инструментами вроде GitHub Copilot и Claude Code, а также показывается, как мониторинг в рантайме повышает защищённость рабочих процессов разработки с использованием ИИ.
Интеграция ИИ в CI/CD быстро развивается и выходит за рамки отдельных помощников по написанию кода. Проекты с идеей «непрерывного ИИ» и соответствующие репозитории демонстрируют множество инструментов и фреймворков, которые позволяют ИИ автономно работать в конвейере разработки — от генерации и тестирования кода до развёртывания и наблюдения.
Рост числа таких инструментов подчёркивает острую необходимость создания адекватных рамок безопасности. Без них внедрение ИИ в процесс разработки может расширить поверхность атаки и создать новые векторы компрометации цепочки поставок ПО.
Платформа GitHub Actions стала естественной средой для запуска кодогенерирующих агентов благодаря тесной интеграции с экосистемой — доступу к содержимому репозиториев, обсуждениям задач и pull request, а также наличию чистых эфемерных окружений для выполнения задач. Архитектура, ориентированная на API, упрощает агентам понимание контекста проекта и автоматизацию операций с метаданными.
Вместе с тем такая глубина интеграции требует повышенного внимания к безопасности. Агенты, функционирующие в рамках GitHub Actions, часто наследуют значительные привилегии через GITHUB_TOKEN и другие секреты, поэтому необходимы строгие механизмы контроля и минимизации прав.
Традиционные EDR-решения имеют фундаментальные ограничения в средах CI/CD, особенно при работе с ИИ-агентами. Они ориентированы на распознавание известных злоупотреблений и плохо справляются с новыми схемами атак в CI/CD — примером является инцидент, связанный с tj-actions, где злоумышленники использовали доверенные домены для загрузки вредоносного кода, что не сработало в классических системах обнаружения.
Проблема глубже: EDR не учитывает семантику CI/CD. Инструменты не различают, когда агент легитимно загружает зависимости для анализа кода и когда скомпрометированный агент подтягивает вредоносные пакеты. Они видят только низкоуровневые системные вызовы, но не цепочку решений ИИ, приведшую к этим действиям.
Кодогенерирующие агенты располагают расширенными привилегиями API: они могут программно создавать ветки, открывать и обновлять pull request, отправлять коммиты в черновые PR, обновлять задачи и метаданные репозитория, а также получать доступ к содержимому репозитория. Реальная угроза заключается в поведенческой манипуляции: злоумышленник может заставить агента сгенерировать или выполнить вредоносный код, который затем попадает в основной код при человеческом обзоре и слиянии.
Ещё одна проблема — недостаток видимости. Агенты способны автономно генерировать и исполнять код в CI/CD на основе текстовых инструкций, но организации зачастую не имеют инструментов для наблюдения за этими действиями в реальном времени. Стандартные логи CI/CD отражают только общие результаты задач и не показывают детальных операций внутри шагов сборки.
Мониторинг в рантайме закрывает этот пробел, обеспечивая прозрачность и контекст действий агентного кода. Специальные решения для CI/CD предлагают сбор и корреляцию событий по шагам и рабочим процессам, отслеживание доступа к файлам, порождённых процессов и сетевых подключений, а также оперативные уведомления при подозрительном поведении.
Интеграция таких механизмов в конвейеры с GitHub Copilot, Claude Code и аналогичными агентами даёт командам видимость и контроль, снижая риск использования автоматизации как вектора атаки. При внедрении защит на уровне выполнения и при учёте особенностей агентной логики организации могут безопаснее использовать преимущества ИИ в разработке.
Комментариев