Firmy z sektora e-commerce coraz częściej rozwijają rozwiązania oparte na agentic AI, projektowane do realizacji konkretnych zadań – od wyszukiwania i rekomendowania produktów, po usprawnianie obsługi klienta oraz automatyzację wybranych procesów zakupowych na platformach sprzedażowych.

Wraz z pojawieniem się agentów AI wspierających proces zakupowy organizacje zaczynają przygotowywać swoją infrastrukturę na rosnący udział ruchu generowanego przez systemy, a nie wyłącznie przez użytkowników. To z kolei wiąże się z nowymi wyzwaniami w obszarze bezpieczeństwa.

Zespoły bezpieczeństwa już dziś mierzą się z ogromną liczbą danych, alertów i logów. Potrzebują kontekstu, który pozwoli ograniczyć złożoność środowiska i skuteczniej priorytetyzować zagrożenia zanim pojawią się jednoznaczne sygnały naruszenia bezpieczeństwa – podkreśla Mariusz Sawczuk, F5 Solution Engineer, F5.

 

Rzeczywistość sektora retail

Dla firm z sektora retail potencjał agentic AI jest ogromny.

Choć wartość biznesowa i przewaga konkurencyjna wynikająca z usprawnienia interakcji z klientem są silnymi czynnikami napędzającymi wdrożenia, konsekwencje w obszarze bezpieczeństwa są równie istotne – zaznacza Sawczuk. – W przeciwieństwie do tradycyjnych agentów AI, agentic AI zostało zaprojektowane tak, aby samodzielnie analizować kontekst, podejmować decyzje i wykonywać działania. Taki poziom autonomii rodzi pytania o możliwość śledzenia podejmowanych decyzji, przypisanie odpowiedzialności oraz skuteczny nadzór nad działaniem systemów.

Sektor e-commerce już dziś należy do branż szczególnie narażonych na zaawansowane ataki skierowanych zarówno na webowe, jak i mobilne API. Z analiz F5 Labs wynika, że boty wykorzystywane przez podmioty zajmujące się odsprzedażą odpowiadają nawet za jedną piątą wszystkich operacji dodawania produktów do koszyka.
Atakujący już dziś wykorzystują boty do automatyzacji działań na dużą skalę – od blokowania dostępności produktów po manipulowanie procesami zakupowymi. Te same mechanizmy mogą zostać rozszerzone na środowiska oparte na dużych modelach językowych oraz procesy wykorzystujące agentic AI. Grupy, które wcześniej zakłócały działanie usług takich jak click-to-collect u dużych sprzedawców, z dużym prawdopodobieństwem dostosują swoje taktyki, techniki i procedury, aby wykorzystywać nowe scenariusze automatyzacji oparte na agentic AI.

 

Czas odstawić tradycyjne narzędzia

Rozwój nowoczesnych aplikacji, popularyzacja architektur opartych na API oraz coraz silniej powiązane ekosystemy AI znacząco zwiększyły powierzchnię ataku. W efekcie gwałtownie wzrósł wolumen ruchu machine-to-machine (east-west ), który nie wpisuje się już w tradycyjny model ochrony oparty na granicy sieci. Kolejnym etapem było upowszechnienie interfejsów wykorzystujących przetwarzanie języka naturalnego (NLP). Zespoły bezpieczeństwa dopiero dostosowywały swoje podejście do tych zmian, gdy organizacje zaczęły wdrażać agentic AI – systemy zdolne do samodzielnego podejmowania działań w środowisku aplikacyjnym.

 

Przez lata bezpieczeństwo koncentrowało się przede wszystkim na ochronie perymetru – wdrażaniu firewalli sieciowych i aplikacyjnych, testach statycznych i dynamicznych oraz kontroli ruchu przychodzącego i wychodzącego. W architekturach client-server, gdzie dominował ruch typu north-south , takie podejście skutecznie ograniczało ryzyko – przypomina ekspert.

 

Dotychczasowe podejścia, takie jak strategia defense-in-depth, nadal pozostają ważne, ponieważ nowe typy ataków na systemy AI często prowadzą do dobrze znanych podatności, np. umożliwiających zdalne wykonanie kodu (RCE ) w systemach backendowych. Jednocześnie utrwalone praktyki bezpieczeństwa – takie jak odpowiedzialne ujawnianie podatności, klasyfikacje CVE czy mechanizmy regulacyjne – mają trudności z nadążeniem za tempem zmian charakterystycznym dla środowisk wykorzystujących agentic AI.

 

Co z MCP?

Jednym z kroków w kierunku uporządkowania ekosystemu agentic AI jest Model Context Protocol (MCP). Standard zaproponowany przez Anthropic oraz protokół Agent2Agent (A2A) opracowany przez Google mają ułatwić komunikację odpowiednio między modelami a zasobami oraz pomiędzy samymi agentami. Rozwiązania te stanowią ważny krok w stronę standaryzacji i interoperacyjności, jednak nie rozwiązują w pełni wyzwań charakterystycznych dla środowisk opartych na agentic AI.

Rosnąca liczba narzędzi i aplikacji opartych na AI sprzyja powstawaniu tzw. shadow AI, czyli rozwiązań wdrażanych poza formalnymi procesami nadzoru organizacyjnego. Jednocześnie agenty AI nie zawsze są w stanie rozpoznać nowe typy promptów wykorzystywanych w atakach, co zwiększa ryzyko nieautoryzowanego dostępu do danych lub ich ujawnienia. Dlatego zespoły ds. bezpieczeństwa muszą dostosować istniejące mechanizmy ochrony – szczególnie w obszarze firewalli aplikacyjnych, bezpieczeństwa API oraz narzędzi bot management – do specyfiki komunikacji opartej na MCP.

Istotną rolę odgrywają również narzędzia bot management, które muszą zachować skuteczność w środowisku, gdzie automatyzacja jest coraz częściej wspierana przez AI. Dotyczy to m.in. ochrony danych wykorzystywanych do trenowania modeli oraz treści przetwarzanych w pipeline’ach retrieval-augmented generation (RAG). W praktyce oznacza to konieczność wykorzystania modeli uczenia maszynowego do wykrywania złośliwych wzorców zachowań oraz stosowania mechanizmów utrudniających obejście zabezpieczeń, takich jak szyfrowanie.

Uzupełnieniem tych działań powinno być testowanie podatności modeli AI i aplikacji oraz monitorowanie ich działania w czasie rzeczywistym. Takie podejście zwiększa możliwość śledzenia decyzji podejmowanych przez systemy oraz umożliwia skuteczny nadzór typu human-in-the-loop.

 

Kierunek: See. Set. Synthesize. Save.

Skuteczne zabezpieczenie środowisk agentic AI wymaga przede wszystkim skrócenia czasu wykrywania zagrożeń, przyspieszenia reakcji oraz ograniczenia obciążenia zespołów bezpieczeństwa. Modele AI mogą wpływać na poziom ryzyka w całym systemie, dlatego powinny być odpowiednio testowane zarówno przed wdrożeniem, jak i w trakcie działania.

 

Rozwiązania takie jak F5 AI Red Team oraz F5 AI Guardrails umożliwiają ciągłe testowanie odporności systemów oraz monitorowanie ich zachowania, co pozwala wykrywać potencjalnie złośliwą aktywność. Zamiast reagować wyłącznie na znane scenariusze ataków, podejście oparte na ciągłej identyfikacji słabości zwiększa skuteczność ochrony – mówi Mariusz Sawczuk.

 

W kontekście regulacji, takich jak EU AI Act czy wytyczne NIST, organizacje będą musiały wykazać, że ich systemy AI spełniają określone wymagania bezpieczeństwa i nadzoru. Podejście oparte na identyfikacji ryzyk, wdrażaniu mechanizmów kontrolnych oraz analizie wzorców zachowań pozwala ograniczyć koszty operacyjne i zwiększyć odporność organizacji