Дыры в ИИ системах остаются без патчей годами почти в 100% случаев

Изображение: recraft
Компании массово выкатывают искусственный интеллект в облака и производственные процессы, а темпы защиты за этим просто не поспевают. Исследование Orca Security «Состояние безопасности ИИ в 2026 году» зафиксировало, что 99,9% предупреждений об уязвимостях ИИ, для которых уже вышли патчи, никто так и не закрыл. Проблема касается и российских пользователей — многие отечественные компании подключают те же зарубежные библиотеки, модели и MCP серверы, а значит наследуют те же дыры.
Модели давно перестали быть лабораторной игрушкой. Они пишут код, разбирают документы, лезут в терминалы, дергают базы данных, выполняют операции в облаке. По данным Orca Security, 56% компаний уже запустили агентские платформы в проде, а 51,5% используют ИИ при разработке собственных приложений.
За красивыми цифрами прячется грустная реальность. У 81,2% организаций с ИИ пакетами найдена хотя бы одна известная уязвимость, а патчить её никто не торопится.
Ситуация до боли знакомая. Новая технология уходит в прод раньше, чем безопасники успевают прописать регламенты, проверить зависимости и раздать нормальные права доступа. Пока бизнес радуется скорости, защитники пытаются посчитать, сколько сервисов уже развернуто и кому куда открыт доступ.
Отдельная головная боль — ИИ инструменты через API. Их цепляют к репозиториям, терминалам, переменным окружения, хранилищам учеток. Модель получает доступ к тому, что раньше видел лишь разработчик или админ.
Основные зоны риска при агрессивном внедрении:
- слабо контролируемые API интеграции моделей с внутренними системами;
- агенты с избыточными правами в производственной среде;
- RAG подключения к чувствительным корпоративным данным;
- устаревшие библиотеки в дереве зависимостей ИИ пакетов;
- секреты и токены, забытые в git репозиториях.
Организации разворачивают автономных помощников и фактически создают отдельных нечеловеческих сотрудников. У такого агента есть права, память, набор подключенных сервисов и вполне реальная зона поражения.
Один агент читает документы. Другой запускает команды, меняет файлы, публикует код, лезет во внутренние базы. Чем шире полномочия, тем аппетитнее цель для атакующего.
Отмечается, что более половины компаний с облачным ИИ используют сразу четыре или больше разновидностей подобных сервисов — управлять таким разношерстным конструктором крайне сложно.
Отдельная зона риска — RAG системы. Механизм расширенного поиска даёт модели доступ к внутренним документам, клиентским записям, закрытым хранилищам прямо во время обработки запроса. Ошибка в разграничении прав откроет человеку то, что он видеть не должен, а вредоносная инструкция вытянет закрытую информацию наружу.
От 87 до 98% клиентов трёх крупнейших облачных провайдеров не используют собственные управляемые ключи шифрования для ИИ сервисов. Большинство доверяет защиту стандартным механизмам поставщика и жизненным циклом ключей вообще не занимается.
Директор по информационной безопасности Orca Security Нир Мишал заявил, что ИИ добавил в облачные системы новый рабочий слой. Нир Мишал уточнил, что компании работают теперь с агентами, которые принимают решения, векторными хранилищами с корпоративными данными и сервисами, размазанными по нескольким облакам. Нир Мишал отметил, что командам защиты нужен единый обзор инфраструктуры и автоматическая блокировка атак.
Экосистема состоит не лишь из модели и чат-окна. В неё входят библиотеки, каталоги пакетов, хабы моделей, агентские платформы, инструменты разработчиков. Атакующие бьют сразу по нескольким уровням — публикуют заражённые пакеты, подменяют модели, делают вредоносные расширения, маскируют подделки под популярные сервисы.
У 74,1% компаний найдена как минимум одна критическая уязвимость с идентификатором CVE в ИИ пакетах. Часть проблем раскрыли пять лет назад, часть — за последние 12 месяцев.
Уязвимая библиотека может годами кочевать по дереву зависимостей. Приложение обновляют, интерфейс меняют, функции добавляют, а старый компонент продолжает жить где-то в глубине сборки. ИИ нагрузки наследуют эту болезнь в полной мере.
Orca Security выделяет три направления новых проблем:
- SDK для обращения к размещённым моделям;
- фреймворки для агентов и интеграций;
- экосистема Model Context Protocol.
MCP позволяет моделям цепляться к внешним инструментам и источникам данных. Для разработчика — удобный универсальный разъём. Для атакующего плохо защищённый MCP сервер — прямая дверь к файлам, API и корпоративным сервисам.
Управление ИИ агентами остаётся откровенно незрелым. Многие экземпляры крутятся с настройками доступа по умолчанию, пишут чувствительные данные в логи, не изолированы от продакшена. Захваченный помощник работает как промежуточная площадка — выполняет команды, лезет к другим сервисам, перемещается между компонентами.
64% компаний с ИИ уже развернули векторные базы. В среднем каждая организация использует 3,78 векторного хранилища. Поддерживать одинаковые политики защиты на четырёх разных платформах заметно сложнее, чем на одной.
Стоит обратить внимание — если политики расходятся, атакующий бьёт в слабое звено, и хорошо защищённая база не спасёт, когда соседняя копия документов доступна через плохо настроенный сервис.
ИИ сервисы породили целый класс чувствительных учётных данных. Один API ключ открывает доступ к модели, документам, внутренним инструментам и оплачиваемым вычислениям. Для атакующего такой токен нередко ценнее обычного пароля — можно слать запросы от имени компании, читать закрытые данные и тратить облачный бюджет.
Почти 30% организаций хранят как минимум один ИИ ключ в небезопасном месте — в открытом файле, логе, скрипте или репозитории. Особенно неприятны секреты, однажды улетевшие в Git. Даже после удаления строки из актуальной версии ключ остаётся в истории коммитов, и атакующий находит его за пару минут.
Основные меры для российских и международных команд одинаковы:
- централизованное хранилище секретов с контролем доступа;
- регулярная ротация ключей и токенов;
- автоматический поиск утечек в репозиториях;
- немедленная замена любого ключа, попавшего в git;
- отдельные ключи для тестовых и производственных сред.
Отчёт Orca Security показывает довольно странную картину. Компании уже доверяют искусственному интеллекту код, документы, терминалы и доступ к производственным системам, но не успевают закрывать давно известные дыры. Российским пользователям и организациям это касается напрямую — те же зарубежные SDK, MCP серверы и векторные базы используются в отечественных проектах, и наследственные уязвимости никуда не деваются.
Ранее сообщалось, что специалисты компании «Информзащита» установили высокий уровень риска при анализе безопасности AI- и LLM-приложений. По итогам 2026 года 32% выявленных в ходе пентестов уязвимостей были отнесены к категории высокорисковых, тогда как средний показатель по всем классам ИТ-активов составляет около 12%. Таким образом, риск-профиль приложений с искусственным интеллектом оказался в 2,7 раза выше среднего. Исследование также показало, что по сравнению с 2025 годом медианный срок устранения критичных проблем вырос с 19 до 36 дней, несмотря на сохранение общей структуры выявляемых уязвимостей.
Редакция CISOCLUB считает, что ситуация с ИИ безопасностью напоминает классические грабли облачной эпохи, лишь в увеличенном масштабе. Российским компаниям придётся строить процессы управления ИИ активами с нуля, поскольку большая часть используемых компонентов приходит из зарубежных экосистем со всеми их проблемами.
Отдельного внимания заслуживает вопрос собственных ключей шифрования — доверять полностью облачным поставщикам в текущей геополитической обстановке рискованно вдвойне. Агентские платформы стоит запускать лишь после инвентаризации прав доступа и настройки изоляции от продакшена. Инвестиции в мониторинг MCP серверов и векторных хранилищ сейчас окупятся быстрее, чем через год. Промедление обойдётся дороже любого патча.



