Apple анонсировала на WWDC26 новую функцию для Passwords app в iOS 27, iPadOS 27 и macOS 27. Приложение сможет автоматически менять слабые или скомпрометированные пароли на сайтах. Вместо того чтобы просто предупредить пользователя об утечке и отправить его разбираться самостоятельно, Apple Intelligence с Safari зайдёт на сайт, авторизуется, заменит пароль на надёжный, сохранит его и покажет процесс как Live Activity.
Это решает реальную проблему. Люди игнорируют предупреждения о скомпрометированных паролях. Менять пароль вручную — муторно, сайты прячут настройки, требуют лишних подтверждений. Предупреждение, которое не ведёт к действию, бесполезно. Но есть важная грань: обнаружить риск — это наблюдение, а сменить пароль — это уже авторитетное действие. Вопрос не в том, найдёт ли AI кнопку смены пароля, а в том, сколько полномочий мы ему дадим после этого.
По состоянию на 8 июня 2026 года функция находится в developer beta. Подробная архитектура безопасности, требования к сайтам, обработка сбоев и модель одобрения пока публично не раскрыты. Это ключевые вопросы, которые специалисты по безопасности должны задать до осеннего релиза для широкой аудитории.
Польза очевидна: Passwords уже находит утекшие пароли приватным образом, не раскрывая их Apple. Но финальный шаг — смена пароля — часто проваливается. Исследования показывают, что пользователи не меняют скомпрометированные пароли или меняют их на похожие. Функция может замкнуть цепочку: обнаружение, генерация надёжного пароля, обновление на сайте и сохранение — это снижает время, в течение которого парольом может воспользоваться злоумышленник.
Опасность в том, что та же автоматизация работает в одной из самых ненадёжных сред — в открытом вебе. Смена пароля — действие с высокими последствиями. Агенту нужно понять весь воркфлоу: авторизация, настройки, текущий пароль, правила сайта, MFA, редиректы, всплывающие окна, подтверждения по почте. Это не просто генерация текста — это агент, действующий с чувствительными учётными данными.
Совместное руководство Five Eyes по agentic AI указывает на главный риск: привилегии агента напрямую определяют его опасность. Агент по смене пароля имеет три мощные возможности: авторизоваться как пользователь, получить доступ к секрету, контролирующему аккаунт, и заменить этот секрет, потенциально заблокировав пользователю доступ. Это огромное доверие к любой автоматизированной системе.
Первый и главный риск — prompt injection. Исследование Anthropic говорит, что каждая веб-страница, которую посещает агент, — это потенциальный вектор атаки. NCSC предупреждает: prompt injection — это не SQL injection, у LLM нет надёжной границы между инструкциями и данными. Агент читает сайт, имея полномочия сменить пароль. Злоумышленник может встроить скрытые инструкции: отправить пароль в другое место, добавить свой recovery email, отключить MFA. Apple может изолировать учётные данные от модели, но пока эти границы не задокументированы, «AI работает на устройстве» — не полный ответ. On-device обработка улучшает приватность, но не делает враждебный веб-контент безопасным.
Ключевой архитектурный вопрос: получает ли AI-модель когда-либо текущий или новый пароль в свой контекст? Самый безопасный ответ — нет. Модель должна понять, где на странице поля для паролей, но не видеть сами секреты. Отдельный credential service должен заполнять их только после проверки происхождения сайта и одобренного действия. Любая передача пароля в контекст модели расширяет поверхность атаки.
Есть и практический риск: агент успешно меняет пароль на сайте, но не может правильно сохранить новый. Теперь старый пароль не работает, новый неизвестен, а Passwords не имеет рабочей копии. Причины: сайт вернул неожиданную страницу подтверждения, сеть отказала после фиксации, пароль сохранился под неверным subdomain, сайт молча обрезал символы, или агент неверно сопоставил аккаунт. Safari поддерживает W3C URL /.well-known/change-password — это уменьшает догадки, но не даёт атомарного API для смены пароля. До релиза хочется увидеть, как Apple проверяет успех, защищает новый пароль, обрабатывает частичный сбой и помогает восстановить доступ.
Автоматизация может усилить ущерб при компрометации устройства. Если вредоносное ПО или атакующий с разблокированной сессией может запустить этот воркфлоу, последствия выходят за рамки просмотра паролей — можно менять их массово, блокируя пользователю доступ. Скорость, полезная при контроле пользователя, становится риском, когда контроль перехвачен. Apple стоит требовать свежее биометрическое одобрение для каждого чувствительного действия и ставить лимиты на массовые изменения.
Сайты по-разному реагируют на смену пароля: одни завершают все сессии, другие — нет, третьи включают оповещения о мошенничестве. Для бизнес-админки, финансового сервиса или email-аккаунта неудачная ротация опасна. Здесь же упирается в passkeys: если сайт их поддерживает, перевести пользователя на фишинг-устойчивый passkey может быть ценнее, чем просто крутить пароль. Агент, меняющий пароль, но оставляющий слабый recovery email или SMS-фолбэк, даст ложное чувство безопасности.
Live Activity даёт видимость, но не подотчётность. Нужна понятная запись: какой аккаунт изменён, почему, когда, подтвердил ли сайт успех, были ли затронуты другие настройки, одобрил ли пользователь действие, что делать, если новый пароль не работает. Агент должен останавливаться и эскалировать при выходе за рамки простой смены пароля. Five Eyes рекомендует человеческое одобрение для действий с высокими последствиями.
Автор подводит итог: идея хорошая, но доверия «просто от Apple» недостаточно. Нужны чёткие доказательства: изоляция паролей от модели, строгая область действия (только смена пароля, не recovery-методы), одобрение пользователем через Face ID/Touch ID, невозможность расширения полномочий через контент сайта, строгая проверка происхождения, защита от сбоев, полезный audit trail и возможность независимого тестирования в бета-версии. Это не чрезмерные требования — это минимальные вопросы, которые возникают, когда агенту дают власть над секретами аутентификации. Удобство не отменяет чувствительности действия. Как только AI может сменить ключ от вашего аккаунта, «обычно у него получается» — это не модель безопасности.