Aikido Security: когда код пишет ИИ, скорость релизов опережает любые проверки на уязвимости

Массовое внедрение искусственного интеллекта в разработку ПО фактически обнулило смысл регулярных пентестов в их классическом виде. Релизы выходят за часы, а полноценная проверка защищённости тянется неделями, и к моменту получения отчёта анализируемая версия продукта уже не существует. Для российских компаний и пользователей из РФ эта проблема стоит так же остро, как и для зарубежных команд, поскольку отечественный рынок разработки переходит на ИИ-инструменты сопоставимыми темпами.

Авторы отчёта Aikido Security «Состояние тестирования безопасности ИИ в 2026 году» приводят цифру, от которой сложно отмахнуться. За последние 12 месяцев 76% компаний останавливали, урезали либо полностью сворачивали свои ИИ-инициативы. Ещё 71% респондентов признались, что автоматизация и нейросети заметно мешают находить, расследовать и закрывать инциденты. Российский сегмент разработки, по которому проходит схожая волна автоматизации, рискует столкнуться с теми же узкими местами.

Скорость доставки кода и скорость аудита разъезжаются всё сильнее. Команда выкатывает новую функцию за полдня, а аудит безопасности занимает три-четыре недели. К финалу проверки половина того, что тестировали, переписана дважды.

Стоит обратить внимание, что только 4% организаций не боятся появления уязвимостей в промежутке между двумя плановыми проверками. Остальные 96% откровенно признают существование слепых зон.

Глава Aikido Security Виллем Дельбаре рассказал, что команды постоянно натыкаются на пропущенные дефекты, не понимают объёма выполненного аудита и тормозят релизы. Существующие процессы попросту не догоняют темп разработки. Глава Lovable Антон Осика сообщил, что переход от идеи к запуску сегодня занимает часы, и пентест неделями анализирует уже мёртвую сборку.

Организационная схема добавляет хаоса. Безопасники отвечают за риски, но не имеют рычагов остановить выкатку. Решение о релизе принимают продакт-менеджеры и руководители разработки, а разгребать последствия инцидента приходится не им. Полноценным правом блокировать релиз вместе с ответственностью за последствия обладает лишь около трети команд.

Из исследования вытекает несколько проблемных точек, которые актуальны и для российских разработчиков:

• проверка безопасности при каждом релизе проводится лишь в 21% компаний;
• среди команд с несколькими деплоями в день 84% получают устаревший отчёт о пентесте;
• среди команд с релизами раз в месяц или реже этот показатель падает до 26%;
• больше половины организаций не знают, какие именно компоненты были покрыты аудитом;
• только 40% компаний оперативно подтверждают, что закрытая уязвимость действительно закрыта.

Прозрачность аудита проседает почти повсюду. Заказчик получает отчёт, но не понимает, прошлись ли пентестеры по конкретному API, проверили ли цепочку авторизации, заглянули ли в очередь сообщений. Без этой детализации невозможно отличить разовый баг от системной архитектурной ошибки, и команда продолжает воспроизводить тот же класс уязвимостей в новых модулях.

Верификация исправлений превратилась в формальность. Патч выкатили, тикет закрыли, рестеста никто не провёл. В 60% случаев команда просто верит, что разработчик починил правильно, и обнаруживает обратное уже после публичной утечки или жалобы клиента. Для пользователей из РФ это критично вдвойне, поскольку российские сервисы массово работают с персональными данными граждан и обязаны соблюдать требования регулятора.

Ручной пентест проигрывает не только в скорости. Опрошенные специалисты прямо сообщили, что классическая ручная проверка регулярно пропускает:

• логические ошибки в бизнес-процессах;
• многоступенчатые цепочки атак с переходом между сервисами;
• сложные сценарии компрометации привилегий;
• проблемы, возникающие только под продакшен-нагрузкой;
• баги в интеграциях между микросервисами.

Поэтому рынок разворачивается в сторону автоматизированных средств проверки на базе ИИ. При этом полностью доверять алгоритмам компании не хотят и не собираются. Запрос от руководителей сводится к набору ограничителей.

Список требований к ИИ-инструментам безопасности выглядит так:

• обязательный человеческий контроль над итоговыми решениями;
• ограничение действий автономных агентов в боевой инфраструктуре;
• защита передаваемых на анализ данных;
• понятное обоснование каждого вывода системы;
• возможность откатить любое действие автоматизации.

Интересно, что заказчики ждут от ИИ не замены пентестеров, а сокращения интервала между проверками. Именно этот разрыв воспринимается как главный источник риска.

Аналитика обнаруженных проблем остаётся самой тяжёлой частью работы. Найти уязвимость — половина дела, а вот понять, кто из десяти команд должен её чинить и в каком порядке закрывать сотню найденных дефектов, по-прежнему упирается в живых людей. ИИ здесь помогает с приоритизацией, но финальное решение остаётся за инженером по безопасности.

По частоте контроля мнения разделились. Часть респондентов считает приемлемым ежеквартальный аудит, часть готова жить с проверкой раз в полгода. Руководители ИБ-подразделений предсказуемо тянутся к более жёсткому графику, инженерные команды требуют не тормозить релизы. Для российских компаний, особенно работающих с финтехом, госуслугами и КИИ, частота проверок становится ещё и регуляторным вопросом.

Чем быстрее ИИ пишет код, тем меньше у защитников остаётся времени на привычные процедуры. Десятилетиями отлаженная схема с квартальным пентестом и годовым аудитом распадается на глазах, и заменить её пока нечем, кроме гибрида ручной экспертизы и автоматизированных ИИ-инструментов. Российскому рынку придётся проходить эту трансформацию параллельно с мировым, и пользователи из РФ почувствуют её результаты на качестве сервисов, которыми пользуются ежедневно.

Ранее сообщалось, что OpenAI представила специализированную модель GPT-5.5-Cyber для специалистов по информационной безопасности и расширила программу Daybreak. Вместе с новой моделью компания анонсировала обновлённый инструмент Codex Security и инициативу Patch the Planet, ориентированную на помощь разработчикам открытого программного обеспечения. В OpenAI заявили, что GPT-5.5-Cyber предназначена для ускорения поиска, анализа и устранения уязвимостей, поскольку одной из главных проблем отрасли становится уже не обнаружение ошибок, а скорость выпуска исправлений и закрытия выявленных угроз.

Эксперты редакции CISOCLUB подметили, что отказ от классического пентеста в пользу непрерывных ИИ-проверок неизбежен в ближайшие два-три года. Российский рынок ИБ повторит этот путь, и компании, которые продолжат жить квартальными аудитами, окажутся в позиции догоняющих. Передавать ИИ право блокировать релизы преждевременно, но игнорировать его способность находить проблемы за минуты вместо недель уже невозможно. Регуляторам предстоит выработать рамки, в которых автоматизированный аудит будет приравнен к ручному с точки зрения соответствия требованиям.

Для пользователей из РФ итог окажется положительным, поскольку сервисы будут проверяться чаще и реагировать на угрозы быстрее. Компании, которые встроят ИИ-проверки в CI/CD прямо сейчас, получат фору, которую конкурентам будет сложно отыграть.