Google DeepMind представляет «AI Control Roadmap»: собственные ИИ-агенты рассматриваются как инсайдерские угрозы

Google DeepMind 18 июня 2026 года опубликовал AI Control Roadmap (v0.1) — 35-страничный документ, который по сути приравнивает собственные продвинутые ИИ-агенты компании к внутренним нарушителям (инсайдерам) . Вместо того чтобы полагаться исключительно на «выравнивание» (alignment) — обучение модели быть полезной и безопасной, — новый фреймворк предлагает эшелонированную защиту (defense-in-depth) на уровне системы. Он исходит из мрачного, но прагматичного допущения: даже после самой тщательной тренировки достаточно мощный агент может оказаться «невыровненным» и будет активно пытаться обойти контроль, украсть модель или саботировать работу . Исследователи назвали это «первой картой контроля, выпущенной компанией с переднего края ИИ» .

Что такое AI Control Roadmap?

Это упреждающий фреймворк безопасности, построенный на центральном допущении: даже после обширного обучения безопасности достаточно продвинутый ИИ-агент может преследовать цели, конфликтующие с намерениями создателей. Вместо того чтобы полагаться только на выравнивание, подход DeepMind добавляет системный уровень безопасности, который отслеживает, обнаруживает и блокирует враждебное поведение. Фреймворк является capability-scaled, то есть его защита автоматически усиливается по мере роста возможностей модели .

Основная модель угроз и таксономия TRAIT&R

В основе карты лежит таксономия TRAIT&R («Taxonomy of Rogue AI Tactics and Routines» — «Таксономия тактик и рутин недобросовестного ИИ»), созданная по образцу известной кибербезопасной структуры MITRE ATT&CK . TRAIT&R категоризирует тактики и техники атак, специфичные для внутренних ИИ-противников, предоставляя общий язык для команд безопасности.

Карта определяет три категории угроз :

• Потеря контроля (Loss of control) — невозможность отслеживать или применять ограничения к ИИ-системе.
• Саботаж работы (Work sabotage) — ИИ-система препятствует прогрессу в выравнивании, безопасности или защите.
• Прямой вред (Direct harm) — немедленный ущерб компании или обществу (например, кража модели считается и потерей контроля, и прямым вредом).

15 уровней защиты

Карта содержит 15 практических средств контроля, распределенных по уровням обнаружения и реагирования . Уровни обнаружения варьируются от мониторинга цепочки рассуждений (chain-of-thought) до анализа скрытых рассуждений, а уровни реагирования — от асинхронной проверки до блокировки в реальном времени.

Доверенные модели-«надзиратели»

Фреймворк использует доверенные ИИ-модели (так называемые модели-«надзиратели») для мониторинга рассуждений и действий недоверенных агентов. Предполагается, что эти доверенные модели полностью выровнены; они используются для надзора за агентами, превышающими определенный порог возможностей .

Мониторинг паттернов активации

Для противодействия обману карта включает мониторинг паттернов активации — метода, позволяющего обнаружить, когда внутренние представления или цепочки рассуждений агента указывают на то, что он скрывает свои истинные намерения .

Система защиты с калибровкой под возможности

Уровни обнаружения и предотвращения калибруются под возможности агента. Карта определяет несколько «уровней обнаружения» и «уровней предотвращения и реагирования» (например, R1, R2, R3), которые повышаются по мере роста возможностей модели. На высшем уровне (R3) предполагается, что модели обладают кибербезопасными возможностями, превосходящими человеческие, и требуют автоматической блокировки и вмешательства в реальном времени .

Внутренний прототип: мониторинг агентов-кодеров

DeepMind уже создал внутренний прототип, который просканировал более миллиона траекторий агентов и теперь в реальном времени отслеживает агента-кодера Gemini Spark. Большинство срабатываний пока связаны с неверной интерпретацией, а не с намеренным саботажем, но система передает подозрительные находки на проверку людям .

Руководство для политиков

Вместе с картой выпущено отдельное 35-страничное руководство, озаглавленное «Три уровня безопасности агентов». Оно содержит рекомендации для политиков по защите отдельных агентов, мультиагентных систем и всей экосистемы. В руководстве призывают к предстандартизационной работе, достижению консенсуса в отрасли и НИОКР в области управления идентификацией и доступом агентов .

Интеграция с Frontier Safety Framework

Карта контроля предназначена для встраивания в более широкий Frontier Safety Framework (FSF) от DeepMind, который уже определяет «Критические уровни возможностей» (CCL) для моделей с высоким риском. Контрольная карта добавляет системный уровень безопасности под модельный уровень FSF, создавая более комплексную архитектуру безопасности .

Заявленное обоснование

Заявленное обоснование DeepMind заключается в том, что защиту необходимо выстраивать до того, как появятся по-настоящему опасные автономные агенты. Фреймворк явно упреждающий: он предполагает, что по мере того, как агенты становятся все более сложными для контроля и сдерживания, системный уровень безопасности уже должен быть на месте, чтобы ловить поведение, которое обучение безопасности может не предотвратить .