Роботы • 9 сентября 2025
ИИ будет выгоднее для защитников, чем для хакеров: как нейросети меняют правила игры в кибербезе
ИИ будет выгоднее для защитников, чем для хакеров: как нейросети меняют правила игры в кибербезе
Текст: Григорий Щеглов
Фото: Unsplash
Недавно компания ESET обнаружила первый вирус, который использует искусственный интеллект прямо на зараженном устройстве. Программа PromptLock встраивает модель GPT-OSS-20b от OpenAI и генерирует вредоносные скрипты на ходу, не обращаясь к серверам злоумышленников. Теперь один человек с ИИ-ассистентом может провести кибератаку, для которой раньше требовалась команда хакеров. Порог входа в киберпреступность стал ниже, защитники едва успевают адаптироваться. Рассказываем, как искусственный интеллект меняет правила игры в безопасности и почему вашему бизнесу пора готовиться к новой реальности.
Недавно компания ESET обнаружила первый вирус, который использует искусственный интеллект прямо на зараженном устройстве. Программа PromptLock встраивает модель GPT-OSS-20b от OpenAI и генерирует вредоносные скрипты на ходу, не обращаясь к серверам злоумышленников. Теперь один человек с ИИ-ассистентом может провести кибератаку, для которой раньше требовалась команда хакеров. Порог входа в киберпреступность стал ниже, защитники едва успевают адаптироваться. Рассказываем, как искусственный интеллект меняет правила игры в безопасности и почему вашему бизнесу пора готовиться к новой реальности.
Вайб-хакинг
Первые попытки использовать генеративный ИИ для создания вредоносного ПО появились еще в конце 2024 года. Тогда была замечена программа-шифровальщик FunkSec, атаковавшая организации в Европе и Азии. Анализ показал, что многие фрагменты ее кода были написаны не вручную, а автоматически с помощью ИИ.
Идею использования злоумышленниками ИИ в создании вредоносных программ нельзя назвать новой. Однако раньше результаты часто оказывались сырыми — код содержал ошибки, в одной программе могли использоваться команды для разных операционных систем одновременно.
Эксперты считают, что ИИ пока больше снижает порог входа в киберпреступность, чем кардинально меняет ее ландшафт. Но это уже создает заметный эффект: люди без глубоких технических знаний получают доступ к инструментам, которые раньше требовали серьезной экспертизы.
Настоящий прорыв в использовании ИИ для кибератак продемонстрировал случай, который компания Anthropic назвала вайб-хакинг. Группа киберпреступников использовала Claude Code — ИИ-агент для программирования, — чтобы вымогать данные у 17 организаций по всему миру, включая медицинские учреждения, службы экстренного реагирования и даже государственные структуры.
Особенность этой атаки — комплексный подход. ИИ не просто писал код для взлома, но и создавал «психологически выверенные требования о вымогательстве», анализировал украденные данные и даже предлагал размер выкупа. В некоторых случаях суммы превышали $500 тыс. Чтобы заставить модели работать на злоумышленников, используются их «черные» версии без этических фильтров, обходы встроенных ограничений или гибридный подход, когда искусственный интеллект готовит основу, а человек дорабатывает результат.
«Если раньше для подобной операции требовалась команда опытных специалистов, то теперь один человек может провести ее с помощью агентных систем», — объясняет Джейкоб Кляйн, глава отдела анализа угроз Anthropic. По его словам, в этом случае Claude «выполнял операцию от начала до конца».
ИИ меняет саму бизнес-модель злоумышленников: автоматизируя разработку атак и разведку целей, он резко сокращает время и человеческие ресурсы, необходимые для их проведения. В результате кибератаки становятся быстрее, умнее и дешевле в организации. Конечно, точные цифры назвать невозможно — хакеры статистикой не делятся, — но тенденция очевидна: цена входа в этот «бизнес» заметно упала.
Еще один показательный пример — это появление принципиально новых инструментов: полиморфный код, способный обходить классические системы защиты; автоматизированная разведка (OSINT), которую ИИ ведет на недосягаемом ранее уровне, или гиперреалистичные дипфейки, которые приходят на смену наивным «письмам от нигерийского принца».
Защитники тоже вооружаются
Впрочем, ИИ помогает не только атакующим. Google использует свою модель Gemini для поиска уязвимостей в программном обеспечении раньше, чем это сделают хакеры. За несколько месяцев команда обнаружила как минимум 20 серьезных багов в популярном софте и предупредила компании, чтобы они их исправили.
«Пока никто не находит что-то принципиально новое, — признает Хизер Адкинс, вице-президент Google по инженерии безопасности. — ИИ просто делает то, что мы уже умеем делать, но быстрее».
Компания CrowdStrike также активно использует ИИ для помощи клиентам, подозревающим взлом. При этом ее аналитики замечают растущее использование ИИ со стороны китайских, российских, иранских хакеров и обычных киберпреступников.
«Более продвинутые противники используют это в своих интересах, — говорит старший вице-президент CrowdStrike Адам Мейерс. — Мы видим это все больше и больше каждый день».
Крупные технологические компании тоже перестраивают подход к защите. Так, «Яндекс» за последние два года удвоил инвестиции в кибербезопасность и отказался от набора разрозненных решений. Вместо этого компания строит единый фреймворк, куда интегрированы все инструменты, включая системы с элементами искусственного интеллекта. Цель — не только защищать данные, но и автоматически выявлять угрозы и координировать действия всех систем в реальном времени.
Похожую трансформацию прошел и «Сбер». Банк полностью отказался от зарубежных решений IBM и внедрил свои модули Platform V IDM и IAM SE. Фактически «Сбер» разобрал старую разрозненную систему из продуктов разных поставщиков и собрал новую — единую, гибкую и масштабируемую. Это снизило зависимость от вендоров и повысило уровень контроля.
Алексей Булазель из Совета национальной безопасности США считает, что пока защитники выигрывают гонку: «Я твердо верю, что ИИ будет более выгоден для защитников, чем для нападающих». Его логика: хакеры редко находят критические уязвимости в крупных технологических компаниях, чаще взламывая мелкие фирмы через незамеченные баги. А ИИ особенно хорош именно в обнаружении таких мелких недочетов. Помимо этого, в арсенале защитников уже появляются системы автоматического реагирования на инциденты (SOAR) и инструменты прогнозирования угроз, которые позволяют закрывать уязвимости до того, как ими воспользуются злоумышленники.
Что нас ждет
Эксперты предсказывают рост длительных комплексных атак, где киберпреступники будут непрерывно перебирать все возможные векторы взлома компании. После отражения одной атаки сразу последует попытка следующей — через другие точки входа и потенциальные бреши в защите.
«На этом фоне еще острее встанет проблема дефицита кадров в отрасли», — предупреждает генеральный директор RED Security Иван Вассунов.
Уилл Пирс, CEO компании DreadNode, специализирующейся на хакинге с помощью ИИ, объясняет, почему мы находимся на пороге больших изменений: «Технологии и модели теперь действительно хороши в этом деле». Менее двух лет назад автоматизированные ИИ-инструменты для хакинга требовали значительной настройки, но теперь они стали гораздо более способными.
В итоге мы получаем классическую гонку вооружений: хакеры используют ИИ для ускорения атак и снижения порога входа в киберпреступность, а защитники — для более быстрого обнаружения уязвимостей и анализа угроз. Пока что защита держится, но баланс может измениться в любой момент. Особенно если кто-то создаст мощный и общедоступный ИИ-инструмент для автоматического хакинга.
Что бизнес может сделать уже сегодня
По словам Максима Лазырина, партнера и руководителя практики стратегического консалтинга в The Edgers, бизнесу стоит перестать рассматривать кибератаки как инциденты. Эксперт считает, что пора признать: это новая операционная реальность. Вопрос не в том, случится ли, а в том, насколько компания готова управлять собой, когда это произойдет.
В этом контексте важно учитывать усиливающееся регулирование: компании уже обязаны раскрывать факты киберинцидентов и соответствовать требованиям к защите данных, и в ближайшие годы давление со стороны регуляторов только усилится. Особенно уязвимыми оказываются сферы, где сконцентрированы чувствительные данные и критическая инфраструктура, — финансы, здравоохранение, телеком и промышленность.
Эксперты отмечают, что все больше организаций переходят на модель Zero Trust (нулевого доверия). Она предполагает, что никакой доступ в системе не предоставляется по умолчанию — каждое действие и каждая учетная запись должны быть проверены. Такой подход снижает риски инсайдерских атак и утечек, а также позволяет бизнесу заранее закладывать безопасность в архитектуру процессов, а не достраивать ее сверху.
Что можно сделать для противодействия панике во время кибератак, по мнению Максима Лазырина:
- Назначить руководителя цифровой трансформации. Даже если это не отдельная должность в штатном расписании — должен быть человек, отвечающий не за защиту, а за управляемость в кризисе.
- Пересмотреть сценарии реагирования. Есть ли у вас план, если центральные ИТ-инструменты недоступны? Кто принимает решения? Через что коммуницирует команда?
- Провести учения. План, который ни разу не отрабатывался, — это иллюзия. Репетиции показывают реальные слабые места, особенно в коммуникации и распределении ролей.
- Укрепить культуру. Страх — главный враг устойчивости. Команда должна понимать, что задача — действовать, а не искать виноватых. Этому нужно учить.
