ИИ научился взламывать системы почти без участия человека

ИИ научился взламывать системы почти без участия человека

изображение: grok

В отчете Check Point AI Security Report 2026 рассказано о случаях, когда нейросеть самостоятельно проводила эксплуатацию уязвимостей, генерировала тысячи команд и вела десятки рабочих сессий подряд. Раньше модель выступала консультантом для взломщика, теперь садится за руль сама. Для российских пользователей и компаний угроза равнозначна — те же приёмы работают против отечественных сервисов, почтовых аккаунтов и корпоративных сетей.

Нейросеть в подобной схеме изучает цель, подбирает инструмент, проверяет найденную брешь, формирует команды и продолжает работу после каждого нового результата. Оператору остаётся поставить задачу и время от времени поглядывать на экран. Агент не устаёт, не отвлекается и способен перебирать десятки вариантов одновременно.

Для автономных операций преступнику нужна нейросеть, готовая выполнять опасные инструкции. Способов раздобыть такую несколько:

  • крадут учётные данные от корпоративных ИИ-платформ и работают за чужой счёт;
  • поднимают открытую модель на собственном сервере с полным контролем над фильтрами;
  • покупают на теневых площадках готовые инструменты для взломов и фишинга;
  • обходят встроенные защиты коммерческих сервисов через jailbreaking.

Запросы формулируются так, что модель воспринимает вредоносную задачу как учебную, художественную или технически нейтральную. Команды дробятся, маскируются, помещаются в ролевой контекст.

Провайдеры регулярно обновляют фильтры, поэтому удачный обход быстро перестаёт работать. Атакующие ищут варианты, не зависящие от одной формулировки.

Более живучая техника направлена против агентов, которые автоматически читают конфигурационные файлы при запуске. Вредоносная строка в файле CLAUDE.md или подобном будет активироваться при каждой новой сессии, пока её не найдут и не удалят.

Стоит обратить внимание, что для атакующего это удобный способ закрепления. Не нужно снова уговаривать модель нарушить правила — команда уже лежит в доверенном рабочем документе проекта.

Модель пишет функции, правит ошибки, объясняет работу библиотек и адаптирует код под разные операционные системы. Начинающий взломщик способен собрать работоспособный загрузчик, модуль кражи данных или средство удалённого управления, задавая вопросы обычным языком.

Порог входа заметно снизился. Тот, кто раньше сдался бы после первой ошибки компилятора, теперь доводит проект до рабочего состояния. Число потенциальных авторов вредоносов растёт.

Профессиональные группировки используют нейросеть как ускоритель. Опытный разработчик получает черновой код, правит критичные части вручную, а модель помогает переделывать один образец под разные цели и создавать варианты, которые хуже распознаются сигнатурными системами.

Отдельная категория вредоносов обращается к модели прямо во время работы. Код собирает сведения о заражённом компьютере, отправляет описание и получает подходящую последовательность операций. На одном устройстве ответ будет связан с браузерами, на другом — с облачными инструментами, на третьем — с корпоративными службами.

Модели хорошо читают код и сравнивают старую версию программы с обновлённой. После выхода патча злоумышленник сопоставляет сборки, находит изменённый участок и понимает, какую брешь закрыли. Нейросеть ускоряет разбор исправления, объясняет логику функции и помогает написать демонстрационный код.

Промежуток между публикацией уязвимости и появлением рабочего эксплойта продолжает сокращаться. В части случаев атакующим хватает нескольких часов после появления технических деталей.

Крупная компания не может сразу развернуть патч на всей инфраструктуре по нескольким причинам:

  • обновление способно нарушить совместимость со старым софтом;
  • нужны тестовые прогоны на некритичных сегментах;
  • согласование с бизнес-подразделениями занимает дни;
  • часть систем требует остановки сервиса для установки.

Атакующему подобные процедуры не нужны. Он берёт опубликованные сведения, быстро собирает инструмент и сканирует сети в поисках необновлённых машин. Машинный анализ кода занимает минуты, корпоративный комитет согласовывает установку неделю.

Организации встроили модели в почту, редакторы документов, репозитории и браузеры. Помощник читает письма, создаёт сводки, меняет файлы, запускает команды и подключается к внутренним базам от имени сотрудника.

Модель получает инструкции и данные единым текстовым потоком. Она не отличает безошибочно команду администратора от содержимого случайного документа. Если агент открывает файл со спрятанной вредоносной строкой, он может принять её за указание к действию. Приём называется prompt injection — внедрением подсказок.

Опасный текст размещают на веб-странице, в письме, документе, комментарии к коду или скрытом поле формы. Пользователь его не замечает, модель прочитывает содержимое и предлагает ему раскрыть данные, изменить настройки, отправить файл или выполнить команду.

Интересно, что манипуляции возможны и через память. Если система сохраняет информацию между сессиями, туда можно записать инструкцию, которая будет влиять на все последующие действия агента.

Автономный агент усиливает последствия обычных программных ошибок, потому что нередко работает с широкими полномочиями. При перехвате управления атакующий получает не пассивный чат, а готового исполнителя с доступом к рабочей среде.

Лотем Финкельштейн, вице-президент Check Point Research, полагает, что граница между профессиональными злоумышленниками и менее подготовленными участниками стремительно исчезает. Лотем Финкельштейн отметил, что защитным командам больше нельзя рассчитывать на ограничения человеческой скорости атаки. По его оценке, впереди останутся организации, которые сумеют контролировать применение ИИ, защищать используемые модели и реагировать на машинном темпе.

Голос синтезируется по короткой записи, фотография превращается в говорящий аватар, поддельный документ создаётся за минуты. Криминальные сервисы предлагают наборы для имитации сотрудников компаний, родственников и руководителей.

Опытные наблюдатели правильно распознавали созданные ИИ лица примерно в 41% случаев, обычные пользователи справлялись около 30% ситуаций. Профессиональная насмотренность помогает, но уверенной защиты не даёт.

Мошенники сочетают телефонные звонки, сообщения, видеоконференции, поддельные сайты и рабочие платформы. Сначала сотрудник получает сообщение в мессенджере, потом ему звонит якобы коллега, затем приглашение приходит через Microsoft Teams или Slack. Каждый элемент отдельно вызывает сомнение, вместе они создают убедительную легенду.

ФБР связывает с мошенничеством через голосовые инструкции убытки свыше 250 млн долларов, и настоящий ущерб заведомо выше зафиксированного.

С октября 2025 года по май 2026 года 87–93% организаций ежемесячно сталкивались хотя бы с одним взаимодействием с ИИ, отнесённым к высокому риску. Речь о загрузке закрытого документа, передаче персональной информации или отправке внутреннего кода во внешний сервис.

Сотрудник копирует договор, письмо или таблицу ради быстрой сводки. Внутри лежат имена, финансовые показатели, реквизиты. Задача решается за минуту, компания теряет контроль над тем, где оказался документ и как долго он будет храниться.

Экспертная редакция CISOCLUB считает, что отчёт Check Point фиксирует переломный момент — атака перестала двигаться в темпе человека за клавиатурой. Российским компаниям стоит пересматривать модель угроз с учётом того, что нейросети уже способны вести многочасовые операции без оператора.

Первым практическим шагом видится инвентаризация всех ИИ-сервисов, к которым имеют доступ сотрудники, включая теневые внедрения. Второй шаг — жёсткое ограничение прав автономных агентов по принципу минимальных полномочий. Третий — обязательное подтверждение финансовых операций через независимый канал, потому что голос и видео больше не служат доказательством личности. Организациям, которые продолжат полагаться только на ручные регламенты, придётся конкурировать с машинной скоростью атаки, а такую гонку человек проигрывает.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: