СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
3 июня
#Отчеты #ИБ#ИИ

75% компаний сознательно выпускают уязвимый код

75% компаний сознательно выпускают уязвимый код

Изображение: grok

Около 75% компаний открыто признают факт выпуска программного обеспечения с уже выявленными уязвимостями. Такие цифры озвучили аналитики Checkmarx по итогам своего исследования. Год назад показатель достигал 81%, поэтому формально подвижки есть, но картина по-прежнему вызывает серьёзное беспокойство.

Искусственный интеллект меняет расстановку сил не в пользу обороняющейся стороны. Хакеры выискивают слабые места заметно быстрее, чем команды разработки успевают закрывать обнаруженные дыры.

Многие организации в курсе наличия проблем в своих продуктах, но всё равно отправляют их в эксплуатацию. Причина далеко не всегда кроется в халатности разработчиков. Чаще бизнес оказывается зажат между двумя малоприятными вариантами:

  • задержать релиз и объяснять руководству, почему продукт не вышел в срок;
  • выпустить систему с известными рисками, рассчитывая залатать дыры позже;
  • ужать сроки тестирования до минимума и надеяться на удачу.

По расчётам Checkmarx, ещё в 2018 году от обнаружения дыры до начала её активной эксплуатации проходило в среднем около 840 дней. К 2026 году цифра рухнула до неполных 2 суток. Прогнозы команды Checkmarx Zero выглядят ещё мрачнее. По оценкам экспертов, к 2028 году промежуток способен сжаться до одной минуты.

Брешь будет появляться практически одновременно с первыми попытками её взлома. Залатать ошибку после релиза станет почти нереально, потому что атакующие доберутся до неё раньше, чем обновление дойдёт до конечных пользователей.

Вице-президент Checkmarx Эран Кинсбрунер уверен, что проблема давно вышла за рамки вопросов процессов или дисциплины внутри команд. По мнению Эрана Кинсбрунера, нейросети штампуют программный код настолько стремительно, что привычные модели ручной проверки уже не вытягивают этот вал.

Генеративные системы позволяют писать код быстрее, чем когда-либо за всю историю разработки. Программисты получили инструменты, заметно ускоряющие создание приложений, сервисов и интеграций. Вместе с полезными строками появляются и новые ошибки, причём масштаб этого потока уже перекрывает возможности команд по безопасности.

Опасения Checkmarx находят подтверждение и в других материалах отрасли. Verizon опубликовал ежегодный отчёт Data Breach Investigations Report, где эксплуатация уязвимостей обеспечила 31% случаев первоначального проникновения в инфраструктуру компаний. Годом ранее показатель держался на отметке 20%.

В Verizon также фиксируют рост применения ИИ самими злоумышленниками. Хакеры в среднем задействовали ИИ-помощников или работы с их участием примерно в 15 разных техниках атак. Отдельные группировки применяли подобные инструменты сразу в 40–50 методах нападения.

Проблема выходит за рамки отдельных организаций и затрагивает целые цепочки поставок. Отдельное исследование британской страховой группы QBE показало, что 75% британских компаний обеспокоены применением искусственного интеллекта подрядчиками и поставщиками услуг. Количество организаций, столкнувшихся с кибератаками за минувшие 12 месяцев, выросло с 53% в 2025 году до 59% в 2026 году. При этом 22% компаний сообщили, что все либо большая часть атак были связаны с поставщиками.

Даже при таком уровне опасений многие компании пока не готовы к полноценному управлению рисками. Аналитики QBE приводят характерные цифры:

  • лишь 28% компаний, использующих ИИ, проводят оценку или аудит ИИ-систем поставщиков;
  • официальная политика использования и управления ИИ оформлена только у 35% организаций;
  • большая часть остального бизнеса работает с генеративными моделями фактически вслепую.

Огромное количество компаний уже встроили искусственный интеллект в разработку и операционную деятельность, но при этом смутно представляют, какие риски приходят вместе с этими технологиями. Раньше между появлением бреши и атакой проходили месяцы, теперь счёт идёт буквально на часы.

Ранее сообщалось, что эксплуатация программных уязвимостей впервые почти за два десятилетия стала главным способом проникновения в корпоративные сети. По данным Verizon DBIR 2026, на атаки через программные дыры приходится 31% подтверждённых утечек, тогда как доля компрометации учётных данных опустилась до 13%.Также ранее сообщалось, что специалисты Sophos зафиксировали хакеров, применявших Cursor, Claude Opus и другие ИИ-инструменты для разработки средств обхода EDR-решений. Исследователи сделали вывод, что нейросети всё активнее задействуются не только для написания обычного кода, но и для ускоренного создания наступательного инструментария.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: