ChatGPT за 40 минут захватил корпоративный домен по одной команде оператора

Изображение: grok
Специалисты Cato Networks провели эксперимент, в котором агент на базе языковой модели OpenAI получил единственную общую цель наступательного характера и самостоятельно прошёл полный цикл атаки на корпоративную сеть. За 40 минут система выполнила разведку, закрепление, повышение привилегий и захватила права администратора домена Active Directory. Опасность такой схемы касается и российских компаний, чья ИТ-инфраструктура строится на аналогичных доменных решениях.
Эксперимент шёл в лабораторной среде, повторяющей типичную корпоративную сеть. Модели не давали пошаговых инструкций и не управляли каждым её шагом вручную. Агент получил высокоуровневую задачу и свободу выбирать методы. Дальше он планировал операцию, запускал инструменты, читал ответы систем и подстраивал следующие действия под ситуацию. Получился не помощник для человека, а самостоятельный цифровой оператор, которому обозначили конечную точку и разрешили искать дорогу.
Интересно, что модель провела почти полный жизненный цикл проникновения без промежуточных команд от человека — от первичной разведки до захвата домена.
В тестах агент выполнил все этапы, характерные для реального вторжения. Сначала он собирал сведения о доступных системах и сервисах, затем проверял узлы, искал ошибки настройки и подбирал способ первоначального доступа. После закрепления система переходила к внутренней разведке, изучала доверительные отношения, учётные записи и маршруты к более ценным активам. Далее агент повышал полномочия и двигался вглубь сети. Финалом становился административный доступ на уровне домена, а весь путь в итоговом прогоне занял около 40 минут — человеку без опыта такая работа могла бы растянуться на дни.
Проверяли две версии — GPT-5.5 и специализированный вариант GPT-5.5-Cyber для задач компьютерной безопасности. Основные испытания вели на обычной GPT-5.5, чтобы оценить возможности общедоступного инструмента, доступного и злоумышленникам. Точные формулировки промптов исследователи не раскрыли, чтобы не упростить повторение опыта за пределами лаборатории.
Модель не двигалась по жёстко заданному маршруту. Cato Networks провела шесть тестов с разными условиями внутри сети. Когда привычный метод не срабатывал, агент не буксовал и не ждал человека — он анализировал результат и пробовал другой вариант.
Список того, что модель делала самостоятельно:
- собирала сведения о доменных службах и сегментах;
- искала ошибки настройки и уязвимые сервисы;
- закреплялась в захваченных узлах;
- перестраивала план после неудачных команд;
- получала права администратора домена.
Агент не ограничивался готовыми утилитами. Он создавал небольшие собственные инструменты для проверки уязвимостей, менял их код под текущую среду и запускал новую версию, если стандартная проверка не давала результата. Система перестраивала процесс сбора данных, когда первоначальный метод блокировался, подбирала альтернативные каналы связи и продолжала работу даже после закрытия привычного маршрута. Такая способность превращает ИИ из справочника по командам в полноценного участника операции — модель берёт на себя оркестрацию и решает, какая утилита нужна на следующем шаге.
В одном из тестов агент разработал канал передачи данных на основе протокола Server Message Block, который в Windows используется для обмена файлами и работы с сетевыми папками. В корпоративной среде такой трафик выглядит привычно и часто уже разрешён между сегментами. Модель использовала имеющуюся точку закрепления и построила через неё туннель — данные шли по маршруту, уже присутствующему в сети, без открытия нового прямого соединения наружу. Сама техника SMB-туннелирования давно известна, но агент выбрал её самостоятельно и встроил в текущую операцию без подробной инструкции.
Признаки того, что в сети действует автономный ИИ-агент:
- разведка домена запускается быстрее человеческого темпа;
- одна учётная запись за минуты обращается ко множеству узлов;
- SMB-соединения появляются между сегментами без бизнес-повода;
- в PowerShell исполняются нестандартные, но легитимные по форме команды;
- при блокировке одного пути тут же пробуется другой.
Стоит обратить внимание — модель не изобретала новых атак, а ускоряла и связывала известные техники в единую цепочку.
Шесть предыдущих тестов дали агенту накопленный контекст, и в финальном прогоне он прошёл цепочку быстрее — за те самые 40 минут до администратора домена. Такая память делает ИИ опасным при длительных кампаниях. Раньше человек вручную запускал разведку, читал результат и выбирал команду. Теперь этот цикл выполняет машина. Один оператор способен вести больше целей одновременно, а квалификационный порог заметно снижается — человек, который раньше остановился бы после первой ошибки PowerShell, теперь передаёт проблему модели и продолжает работу.
Гай Вайзель, технический евангелист Cato Networks, отметил, что одна языковая модель — лишь часть конструкции. Он пояснил, что настоящие возможности появляются при связке модели с оркестрацией, актуальным контекстом и проверенными инструментами. Гай Вайзель добавил, что подобное сочетание способно ускорить известные цепочки атак и сократить требования к подготовке оператора. Реальная угроза скрывается не в окне чат-бота, а в подключении модели к терминалу, сетевым сканерам и хранилищу оперативных данных.
Что стоит сделать корпоративным защитникам, включая российских:
- отделять административные аккаунты от пользовательской работы;
- сегментировать критические системы и контролировать SMB-трафик между сегментами;
- отслеживать не отдельные события, а цепочки действий одной учётной записи;
- сокращать время автоматической реакции на подозрительную последовательность;
- ограничивать полномочия внутренних ИИ-агентов и проверять их действия.
Российским пользователям и организациям опасность угрожает напрямую. Большинство отечественных корпоративных сетей построено на той же архитектуре Active Directory, SMB и PowerShell, что и лабораторный стенд Cato Networks. Автономный агент не различает юрисдикции — ему нужны доступный периметр, слабая сегментация и медленная реакция службы мониторинга. Российским компаниям, банкам и государственным структурам стоит заранее пересмотреть скорость реагирования SOC, поскольку 40 минут от команды до захвата домена не оставляют времени на ручной разбор оповещений в общей очереди.
Экспертная редакция CISOCLUB считает, что описанный эксперимент фиксирует поворотный момент для всей отрасли корпоративной защиты. Автономный ИИ-агент перестал быть теоретической конструкцией из презентаций и превратился в работающий инструмент, доступный практически любому мотивированному атакующему с базовыми навыками оркестрации.
Российским службам информационной безопасности необходимо перестраивать модель угроз с учётом того, что скорость проникновения теперь измеряется десятками минут, а не сутками. Ставка на ручной анализ событий и разбор оповещений силами дежурных аналитиков будет проигрывать машине по времени в разы. Требуется переход к автоматической блокировке подозрительных цепочек, жёсткой сегментации доменной инфраструктуры и постоянному контролю действий любых внутренних ИИ-агентов, получающих доступ к сети. Компании, откладывающие эти изменения на следующий бюджетный цикл, рискуют встретить агентную атаку в состоянии, при котором первое оповещение аналитик увидит уже после потери домена.



