AWS запускает автономных AI‑агентов для pentest'ов и DevOps: недели сжимаются до часов

Что появилось / что изменилось

AWS вывела в общую доступность два продукта из линейки так называемых frontier‑агентов:

• AWS Security Agent — автономный агент для on‑demand penetration‑тестов.
• AWS DevOps Agent — агент для автоматизации эксплуатации и SRE‑задач в облаке и on‑prem.

Оба сервиса работают как отдельные «участники команды»: сами ставят цель, собирают контекст, принимают решения и могут крутиться часами или днями без ручного сопровождения.

Ключевые цифры из превью‑запусков:

• Security Agent:

  • сокращает длительность pentest'ов с недель до часов;
  • HENNGE K.K. говорит о сокращении типичного цикла тестирования больше чем на 90%;
  • Bamboo Health нашла через него уязвимости, которые «не показал ни один другой инструмент».

• DevOps Agent:

  • до 75% ниже MTTR (mean time to recovery);
  • до 80% быстрее расследование инцидентов;
  • 94% точность определения корневой причины;
  • итоговый эффект — в 3–5 раз более быстрая ликвидация инцидентов.

Как это работает

Frontier‑агенты вместо «чат‑ассистента»

Вместо привычной схемы «задал промпт — получил ответ» AWS делает долгоживущие агенты. Они:

• сами разбивают цель на шаги;
• ходят по API и интеграциям;
• хранят контекст сессии часами и днями;
• принимают решения до достижения результата, а не одного ответа.

AWS Security Agent

Security Agent работает ближе к живому pentester'у, чем к сканеру уязвимостей:

• Подтягивает контекст: исходники, архитектурные диаграммы, документацию.
• Ищет уязвимости: формирует гипотезы по слабым местам.
• Пробует эксплуатацию: отправляет таргетированные payload'ы, собирает цепочки атак.
• Валидирует риск: отличает реальную дыру от «теоретической» проблемы.

За счёт доступа к архитектуре и коду он выстраивает сложные attack chain'ы, которые простые сканеры часто пропускают. Именно это клиенты и называют ключевой разницей: не только больше находок, но и лучшая приоритизация.

AWS DevOps Agent

DevOps Agent — это виртуальный SRE‑инженер, который живёт рядом с вашей observability‑схемой:

• Подключается к CloudWatch, Datadog, Dynatrace, New Relic, Splunk, Grafana.
• Читает ранбуки и репозитории в GitHub, GitLab, Azure DevOps.
• Понимает CI/CD‑пайплайны и историю деплоев.

При инциденте он:

1. Собирает телеметрию из всех источников.
2. Коррелирует логи, метрики, трассировки, изменения кода и релизы.
3. Строит динамическую карту топологии: какие сервисы за что отвечают, как связаны.
4. Точным трейсом ведёт инцидент до конкретного коммита или деплоя.
5. Генерирует детальный план смягчения (mitigation) в формате, который можно сразу отдавать другим агентам или инструментам типа Kiro и Claude Code для генерации фикса.

Плюс — обучение на истории инцидентов: агент запоминает типовые паттерны сбоев и заранее предлагает улучшения в наблюдаемости и устойчивости.

Что это значит для вас

Когда имеет смысл пробовать AWS Security Agent

• У вас много сервисов, а бумаг и бюджета хватает только на редкие ручные pentest'ы.
• Вы катите фичи часто и хотите прогонять security‑чек после каждого важного релиза.
• В команде нет сильных in‑house pentester'ов, но вы готовы к on‑demand проверкам по кнопке.

Security Agent хорошо подходит для:

• продуктовых команд, которые живут в AWS и часто релизятся;
• компаний, поджимаемых комплаенсом, где нужно показать частые проверки;
• интеграции в CI/CD как дополнительный слой поверх статических сканеров.

Не лучший вариант, если:

• у вас критичная инфраструктура с жёсткими регуляторными ограничениями на любые активные сканирования;
• политика безопасности запрещает внешним сервисам получать доступ к коду и архитектуре;
• вы работаете целиком за пределами AWS и не готовы строить туда мосты.

Когда нужен AWS DevOps Agent

DevOps Agent логично смотреть, если:

• у вас распределённая архитектура: AWS + Azure + on‑prem;
• уже есть Datadog/New Relic/Splunk, но команда захлебывается в алертах;
• MTTR болит бизнесу: каждая лишняя минута простоя — деньги.

Сценарии использования:

• «дежурный» SRE‑агент, который держит контекст всей системы 24/7;
• ускорение RCA: от алерта до виноватого коммита — в разы быстрее;
• системный разбор пост‑инцидентов и накопление базы знаний.

Не подойдёт, если:

• у вас монолит на одном сервере без нормальной observability;
• политика безопасности не допускает тесной интеграции операционной телеметрии с внешними сервисами;
• команда не готова доверить агенту хотя бы часть рутины и всё равно хочет делать всё руками.

Важно: продукты принадлежат AWS и юридически относятся к экосистеме компании из США. Для пользователей из России почти наверняка понадобится VPN, зарубежный аккаунт и платёжный инструмент, который AWS принимает.

Место на рынке

AWS фактически формирует отдельную категорию «долгоживущих» AI‑агентов, которые не просто подсказывают инженеру, а:

• сами запускают проверки безопасности;
• сами проводят расследование инцидентов;
• выдают готовый, операциональный результат.

По сравнению с классическими сканерами уязвимостей и APM‑системами:

• Security Agent идёт дальше чек‑листа: он строит цепочки атак и валидирует эксплуатацию, чего нет у большинства статических сканеров.
• DevOps Agent не только показывает метрики, как Datadog или New Relic, но и проводит полное расследование до исходного кода.

Прямых цифр сравнения с сторонними AI‑решениями вроде GPT‑4o или Claude 3.5 AWS не приводит. Но подход отличается: вместо универсальной модели, к которой вы вручную прикручиваете пайплайны, AWS даёт уже обвязанный агент, глубоко вшитый в экосистему облака и DevOps‑стек.

Минус такого пути очевиден: вы сильнее привязываетесь к AWS и его сервисам. Плюс — меньше собственноручной интеграционной работы и быстрее выход к полезному результату для команд безопасности и эксплуатации.

---

Читайте также

• Amazon научила Alexa Plus оформлять заказы в Uber Eats и Grubhub в живом диалоге