Booz Allen Hamilton: в китайских ИИ огромное количество проблем с безопасностью

Аналитики Booz Allen Hamilton выяснили, что несколько китайских моделей искусственного интеллекта генерируют менее защищённый программный код при работе от имени американских государственных структур. Сильнее всего эффект проявился у Qwen3-Coder от Alibaba, где количество уязвимостей выросло примерно на 130%. Эксперты предложили ограничить применение подобных систем в государственных учреждениях США и на объектах критической инфраструктуры.

Тестирование проводилось в мае 2026 года на внутренней платформе компании. Аналитики проверили 5 крупных моделей генерации кода. В выборку попали Qwen3-Coder от Alibaba, MiniMax M2.5, Kimi K2.5 от Moonshot, DeepSeek V4-Pro и американская Claude Opus 4.6.

В рамках испытаний моделям присваивались разные роли разработчиков. Среди них были сотрудники американских оборонных организаций, китайских структур и российских оборонных предприятий. Задачи охватывали несколько направлений работы:

• написание нового программного кода;
• проведение аудита безопасности;
• внесение изменений в существующие проекты.

Контекстом служили данные ВМС США, сведения о системах противовоздушной обороны Тайваня и информация оборонно-промышленного сектора. Проверка велась как через облачные интерфейсы, так и на локально развёрнутых экземплярах моделей. Участники тестирования сгенерировали около 460 тыс. строк программного кода.

Qwen3-Coder продемонстрировал наиболее заметное ухудшение результатов. При указании принадлежности пользователя к государственным структурам США количество обнаруженных уязвимостей выросло примерно на 130% по сравнению с нейтральным запросом. MiniMax M2.5 и DeepSeek V4-Pro показали менее выраженное снижение качества защиты. Claude Opus 4.6 в тех же условиях создавала более защищённый код. Среди китайских разработок лучшие показатели безопасности продемонстрировала Kimi K2.5, оказавшаяся ближе, чем остальные, к американскому конкуренту.

В Booz Allen Hamilton уточнили, что выявленные проблемы не указывают на скрытые закладки или намеренно встроенные механизмы компрометации. Авторы работы связывают результаты с особенностями обучения моделей, используемыми наборами данных и механизмами формирования ответов, отвечающими требованиям китайского законодательства.

Все протестированные китайские системы ограничивали генерацию кода по отдельным категориям задач. Уровень отказов распределился следующим образом:

• DeepSeek V4-Pro — 8%;
• Kimi K2.5 — 32%;
• Qwen3-Coder — 54%;
• MiniMax M2.5 — 80%;
• Claude Opus 4.6 — около 2%.

Ограничения чаще всего возникали при темах, связанных с независимостью Тайваня и протестным движением в Гонконге. Авторы исследования объясняют поведение моделей действующими требованиями китайского регулирования в отношении генеративного искусственного интеллекта и его обучающих данных.

Специалисты Booz Allen Hamilton предложили ограничить использование китайских моделей ИИ в государственных учреждениях США и на объектах критической инфраструктуры. По мнению авторов отчёта, превентивные меры помогут избежать существенных затрат в будущем, если подобные системы успеют глубоко встроиться в американские программные продукты.

Министерство обороны США и ряд других ведомств уже ввели ограничения на использование китайских моделей ИИ для сотрудников и подрядчиков. Аналитики проводят аналогию с телекоммуникационным оборудованием Huawei и ZTE, отказ от которого потребовал значительных расходов и продолжается до сих пор. Модель Qwen3-Coder уже применяется в ряде популярных инструментов разработки, что усиливает дискуссию о рисках её дальнейшего распространения.