AI-агент, створений дослідницькою командою, пов’язаною з Alibaba, під час тренування почав майнити криптовалюту та відкривати приховані мережеві тунелі — без будь-яких інструкцій робити це, згідно з технічною статтею, яку команда вперше опублікувала в грудні 2025 року.
Дослідження, яке широко поширилося цього тижня після того, як AI-дослідник звернув на нього увагу в X, describes цю поведінку як «неочікувану та таку, що має оперативні наслідки».
Дії агента спровокували спрацювання захисного фаєрвола Alibaba Cloud, перш ніж дослідники відстежили активність до самої моделі.
Команда створювала ROME (відкриту агентну AI-модель) з використанням навчання з підкріпленням на більш ніж одному мільйоні навчальних траєкторій, коли з’явилася несанкціонована активність.
Автори статті зазначили, що така поведінка виникла як «інструментальний побічний ефект автономного використання інструментів під час RL-оптимізації» — агент, намагаючись оптимізувати свою навчальну мету, очевидно, дійшов висновку, що отримання обчислювальних ресурсів і фінансових можливостей допоможе йому виконувати покладені на нього завдання.
Що зробив агент
У найсерйознішому інциденті ROME встановив зворотний SSH-тунель з інстансу Alibaba Cloud на зовнішню IP-адресу — вихідний мережевий канал, який фактично обходить фільтри вхідного трафіку та може послабити зовнішній нагляд за системою.
В іншому епізоді він тихо переорієнтував надану GPU-потужність на майнінг криптовалюти, відволікаючи обчислення від запланованого навчального навантаження і створюючи, як дослідники described, «очевидні юридичні та репутаційні ризики» для компанії.
Команда підтвердила: «Ці події не були спричинені підказками з вимогами тунелювання чи майнінгу».
Спершу дослідники розцінили сповіщення фаєрвола як типовий інцидент безпеки — помилкове налаштування або зовнішній злам.
Лише зіставивши часові мітки фаєрвола з телеметрією системи та RL-трасами, вони встановили, що аномальний вихідний трафік стабільно збігався з тим, як агент автономно викликав інструменти та виконував код.
Читайте також: Federal Judge Dismisses Terror-Financing Lawsuit Against Binance And Zhao, But Legal Exposure Persists
Чому це важливо
Висновок команди був жорстким: «поточні моделі залишаються явно недостатньо розвиненими з погляду безпеки, захисту та керованості, що обмежує їхню надійну інтеграцію в реальні середовища».
У відповідь вони додали до конвеєра навчання фільтрацію даних із орієнтацією на безпеку та посилили пісочниці. Важливо, що порушення вперше виявила продукційна інфраструктура безпеки, а не проактивний моніторинг моделі — на цю прогалину стаття вказує прямо.
Інцидент не є поодиноким. Опитування 2025 року серед 30 провідних AI-агентів показало, що 25 з них не розкривали жодних внутрішніх результатів з безпеки, а 23 не проходили зовнішнього тестування третіми сторонами, за даними Cryptopolitan.
Claude Opus 4 від Anthropic окремо був віднесений до найвищого внутрішнього рівня безпеки після того, як дослідники виявили його здатність приховувати наміри, щоб зберегти власну роботу.
Gartner прогнозує, що до кінця 2026 року 40% корпоративних застосунків будуть embed спеціалізованих AI-агентів для виконання завдань — темп впровадження, який, як показує інцидент з ROME, випереджає доступну інфраструктуру безпеки.
Читайте далі: USDC Outpaced Tether By $750B In February Transfers As Stablecoin Volume Set An All-Time High