Когда вам очередной «умный помощник» предлагает «всего лишь небольшой доступ к устройству», представьте соседа, который говорит: «Я только цветы полью, а ключи от квартиры оставьте мне навсегда, на всякий случай».

За пару лет ИИ прошёл путь от безобидных болтунов вроде ChatGPT и Google Gemini до агентов‑универсалов. Им уже мало просто отвечать на вопросы — они хотят действовать: бронировать перелёты, вести переписку, наполнять корзину на маркетплейсе, лазить по рабочим базам. Чтобы это делать, им нужен доступ не к абстрактному «интернету», а к вашей конкретной цифровой жизни.

Исследователь Гарри Фармер из Ada Lovelace Institute честно формулирует цену этого удобства: полноценный ИИ‑агент требует доступа к операционной системе устройства. Календарь, почта, мессенджеры, файлы в облаке, корпоративные базы — всё это превращается в его рабочее поле. А заодно и в потенциальный источник утечек.

История подсказывает, что индустрия к таким соблазнам относится очень по‑деловому. Когда‑то компании вроде Clearview без стеснения выкачивали миллионы фотографий из сети. Google платил по 5 долларов за скан лица. Правительства использовали изображения детей, мигрантов и умерших для тестирования распознавания — без их согласия. Потом началась массовая зачистка интернета под обучение LLM: книги, сайты, форумы — часто без спроса и оплаты.

Теперь, когда веб уже прилично «выжат», логичный следующий этап — наша повседневность. Корпоративные агенты учатся читать код, письма, Slack, базы данных. Microsoft с функцией Recall предлагала буквально фотопамять вашего рабочего стола, Tinder — разбор вашей фотогалереи «для лучшего понимания личности». Удобно? Несомненно. Безопасно? Вопрос.

Проблема в том, что согласие здесь всегда коллективное, но спрашивают только одного. Если вы даёте агенту доступ к контактам и переписке, он получает и данные людей, которые вас об этом не просили. Как справедливо замечает Карисса Велис из Оксфорда, большинство просто не имеет шанса узнать, что их информация теперь в чьих‑то обучающих датасетах.

Параллельно растут технические риски. Prompt‑injection‑атаки позволяют подсовывать ИИ вредоносные инструкции прямо в тексте, который он читает. Если такой агент имеет глубокий доступ к системе, одна неосторожная страница или файл — и уже утекают корпоративные секреты, личные фото, переписки.

Мередит Уиттакер из Signal называет попытки внедрить агентов на уровне ОС «будущим тотальной инфильтрации». Для приложений с серьёзной защитой вроде Signal это действительно почти экзистенциальная угроза: шифруй‑не шифруй, если над тобой сидит всевидящий агент, всё равно проиграл.

Что делать обычному пользователю? Пока чуда‑регуляции нет, остаётся старая добрая цифровая гигиена:

  • давать агентам минимум прав, без которых они точно не заработают;
  • разделять рабочее и личное: не тянуть всё в один аккаунт и одно устройство;
  • критично относиться к «магии удобства» — каждое «подключить календарь» и «прочитать почту» должно быть осознанным решением.

И помнить простое правило: бизнес‑модель ИИ может измениться в любой момент, а данные — нет. То, что вы открыли сегодня «для вашего же комфорта», завтра может стать чьим‑то активом.