Из-за ИИ от публикации CVE до кибератаки теперь проходят часы, а не недели

Искусственный интеллект резко меняет темп работы с уязвимостями. По данным отчёта Synack о состоянии уязвимостей за 2026 год, промежуток между обнаружением проблемы и её эксплуатацией сокращается до нескольких часов. Для команд ИБ привычный цикл «нашли, занесли в тикет, поставили в очередь, исправили через недели» всё хуже подходит к новой скорости атак.

Synack указывает на ускорение работы злоумышленников с уязвимостями. ИИ помогает им автоматизировать рутинные этапы, быстрее разбирать публичные CVE, тестировать варианты обхода и проверять доступность уязвимых систем. Окно с задержкой реакции компании при уже начатой эксплуатации становится опасно коротким.

Интересно, что среднее время устранения уязвимостей сократилось с 63 дней до 38 дней, но даже подобная скорость не догоняет атакующих с ИИ, которые ломают уязвимость за часы.

В 2025 году количество опубликованных CVE достигло 48 244. Подобный показатель на 20% больше показателя предыдущего года. Рост сам по себе создаёт давление на команды ИБ через несколько обязательных шагов:

• оценку каждой уязвимости и её риска;
• сопоставление CVE со своими активами;
• понимание реальной экспозиции системы;
• определение приоритета исправления;
• доведение исправления до конца.

При новых записях в десятках тысяч в год ручная приоритизация быстро превращается в узкое место. Synack отмечает, что клиентские программы удерживают показатели в быстро меняющейся среде угроз. Это говорит о переходе зрелых организаций к более постоянной проверке.

Технический директор Synack доктор Марк Кухр заявил о возможности злоумышленников выявлять и использовать уязвимости в короткие сроки. По словам Марка Кухра, организации с постоянной проверкой своей среды быстрее реагируют и раньше закрывают критические окна уязвимости.

В 2025 году среднее время устранения уязвимостей сократилось примерно на 47% по всем уровням серьёзности. Средний срок remediation снизился с 63 дней в 2024 году до 38 дней в 2025 году. Критические уязвимости устранялись на 25 дней быстрее.

Заметное улучшение не отменяет главного разрыва. Организация ускоряет исправления почти в 2 раза, но всё равно отстаёт от злоумышленников с ИИ для быстрой проверки публичных уязвимостей. При начале эксплуатации в день раскрытия календарь исправлений на недели не спасает уязвимые активы.

В 2025 году общий объём уязвимостей оставался ровным, но число проблем высокой степени серьёзности выросло на 10% к 2024 году. Одновременно стало меньше нарушений низкой и средней степени тяжести.

Самые частые типы уязвимостей за 2025 год выглядят так:

• межсайтовая скриптовая атака XSS на 1 месте;
• проблемы с авторизацией и правами доступа;
• внедрение контента и его рост за год;
• атаки перебором паролей в разных формах;
• удалённое выполнение кода в публичных сервисах.

Подобный набор совпадает с использованием атакующими ИИ для проверки контроля доступа, границ аутентификации, цепочек поставки и логики приложений. Автоматическое сканирование помогает находить известные признаки проблем, но не закрывает всю картину.

Системы ИИ с автономной работой в разных средах создают новые риски вне поля простых сканеров. Логические ошибки, неверные настройки, неожиданное поведение бизнес-процессов и сбои в авторизации часто требуют человеческой экспертизы.

48 244 публичных CVE за один год превратили ручную приоритизацию в задачу, которую без ИИ или PTaaS-команды компании уже не вытягивают.

Это заметно в приложениях с риском из комбинации действий. Пользователь может получить доступ к чужому объекту через неправильную проверку прав, обойти бизнес-ограничение через нестандартную последовательность запросов или использовать легитимную функцию не по назначению.

Synack указывает на помощь платформ PTaaS в связывании данных об уязвимостях между разными активами и подразделениями. Подобная связка улучшает приоритизацию и рабочие процессы. Одна и та же CVE может быть критичной для внешнего шлюза и почти неопасной для изолированной тестовой среды.

Рост роли ИИ меняет работу атакующих с публичными CVE. Раньше после публикации уязвимости у защитников было больше времени на анализ и плановое исправление. Сейчас злоумышленники быстрее разбирают описание, ищут патчи, сравнивают версии и проверяют массовую доступность уязвимых систем.

Примером неожиданных угроз в отчёте названа React2Shell с идентификатором CVE-2025-55182. Уязвимость позволяла неавторизованным злоумышленникам отправлять вредоносные HTTP-запросы и добиваться удалённого выполнения кода на серверах.

Проблема цепочек поставки становится острой. Современные приложения состоят из множества компонентов:

• библиотеки и фреймворки с открытым кодом;
• контейнеры и образы из публичных реестров;
• CI/CD-процессы со сторонними плагинами;
• API и внешние сервисы интеграций;
• зависимости разных уровней вложенности.

При появлении уязвимости в популярном компоненте её влияние охватывает тысячи компаний. Атакующим не нужно долго искать жертв вручную. Они автоматизируют поиск, проверку и первичную эксплуатацию.

Прежняя модель исправлений выглядит слишком медленной. Нельзя ждать квартального аудита или планового пентеста при уже используемой в интернете критической уязвимости. Нужны инвентаризация активов, постоянная проверка внешнего периметра, быстрый анализ CVE и понятная схема владельцев по каждому сервису.

Ранее сообщалось о закрытии большинством программ исправления уязвимостей тикетов без проверки исчезновения риска. Команда может установить патч, поменять правило, обновить настройку и перевести задачу в статус «решено», а атакующий путь останется открытым.

Эксперты редакции CISOCLUB отмечают, что отчёт Synack показывает превращение времени в главного противника в управлении уязвимостями. По мнению редакции, организации уже ускоряют исправления, но ИИ помогает атакующим сокращать путь от публичной CVE до эксплуатации до часов. Зрелая программа защиты должна измерять не количество закрытых тикетов, а фактическое исчезновение атакующего пути после исправления. В новой среде побеждает не тот, кто быстрее пишет отчёты, а тот, кто непрерывно проверяет риск и подтверждает невозможность использования уязвимости. Без подобной дисциплины красивая статистика remediation превращается в декорацию для отчётов, а реальный риск остаётся внутри инфраструктуры.