Агентная электронная почта
@ai_longreadsНастройка LLM-агентов для управления электронной почтой — заманчивая идея, но она создаёт идеальные условия для серьёзных утечек безопасности. Мартин Фаулер объясняет, почему «Летальная триада» делает агентную почту опасной и как можно снизить риски.
Это AI-перевод статьи, сделанный каналом Про AI: Лучшие Статьи и Исследования.
Агентная электронная почта
Agentic Email Автор: Martin Fowler Оригинальный текст:
В последнее время я всё чаще слышу о том, как люди настраивают LLM-агентов для работы с электронной почтой и другими каналами коммуникации. Агент получает доступ к почтовому аккаунту пользователя, читает все письма, решает, какие из них можно проигнорировать, составляет черновики некоторых писем для одобрения пользователем, а на часть отвечает самостоятельно. Он также может подключаться к календарю, подтверждая, организуя или отклоняя встречи.
Звучит очень заманчиво. Как и большинство моих знакомых, я страдаю от бесконечного потока писем — этой назойливой жабы, которая сидит на моей жизни и постоянно отвлекает от интересной работы. Дополнительные инструменты коммуникации — Slack, Discord, чат-серверы — только усугубляют ситуацию. Интеллектуальный agentic (агентный) ассистент мог бы избавить нас от значительной части этой рутины.
Но в том, чтобы делать это прямо сейчас, есть что-то по-настоящему пугающее.
Электронная почта — это нервный центр моей жизни. В ней хранится огромное количество информации, значительная часть которой конфиденциальна. Я понимаю, что многое из этого проходит через интернет в открытом виде (привет, NSA — как у вас дела?), но агент, работающий с моей почтой, получает колоссальный объём контекста — а мы знаем, что агенты доверчивы. Прямой доступ к почтовому аккаунту немедленно запускает «Летальную триаду»: ненадёжный контент, конфиденциальная информация и внешние коммуникации. Я слышу о том, как весьма высокопоставленные и влиятельные люди настраивают агентную почту, подвергая себя риску серьёзных утечек безопасности.
«Летальную триаду» предложил Simon Willison, а проиллюстрировал Korny Sietsma.
Беспокойство усиливается, если вспомнить, что многие процессы сброса паролей проходят через электронную почту. Насколько легко сказать агенту, что жертва забыла пароль, и перехватить процесс, чтобы захватить аккаунт?
>
Возможно, существует способ использовать агентов для работы с почтой, который снижает риски. Один из моих собеседников помещает агента в изолированную среду: только с правами на чтение писем и без возможности подключения к интернету. Агент может составлять черновики ответов и других действий, но выкладывает их в текстовый файл для проверки человеком (простой текст, чтобы инструкции нельзя было спрятать в HTML). Убирая возможность внешней коммуникации, мы получаем лишь два элемента из триады. Хотя это не устраняет все риски, мы выходим из опасной зоны триады. Такая схема обходится дорого — она гораздо менее функциональна, чем полноценная агентная почта, но, возможно, это та цена, которую нужно заплатить за уменьшение поверхности атаки.
Пока мы не слышим о крупных инцидентах безопасности, связанных с агентной почтой. Но то, что злоумышленники не эксплуатируют это сегодня, не означает, что они не займутся этим завтра. Возможно, я перестраховываюсь, но вполне может быть, что все мы живём в ложном чувстве безопасности. Каждый, кто использует агентную почту, должен делать это с полным пониманием рисков и нести определённую ответственность за последствия.
Дополнительное чтение
Simon Willison писал об этой проблеме ещё в 2023 году. Он также предложил термин «Летальная триада» в июне 2025 года.
Подпишитесь на канал и каждый день читайте лучшие материалы про AI переведенные на русский!
Нашли интересную статью для перевода? Пришлите нашему боту: @ailongreadsbot