Гонка, в которой нет пауз

Искусственный интеллект в кибербезопасности уже не выглядит экспериментом на будущее. По данным Всемирного экономического форума, 94% киберлидеров считают AI определяющей силой в отрасли, а 77% организаций уже используют его в cyber operations.

Главное здесь не сами проценты, а изменение темпа. AI помогает защитникам быстрее находить аномалии и разбирать поток событий. Но он же помогает атакующим быстрее писать фишинговые письма, искать слабые места, автоматизировать разведку и подбирать уязвимости.

Коротко: кибербезопасность превращается в гонку скорости. Кто реагирует медленнее, тот оказывается в худшем положении.

Где AI уже помогает

В отчёте WEF среди популярных сценариев применения AI названы обнаружение фишинга, реакция на аномалии и анализ поведения пользователей. Это не самая эффектная часть технологии, зато очень практичная: SOC-команды годами тонут в уведомлениях, ложных срабатываниях и рутинной сортировке событий.

AI может сгруппировать похожие сигналы, подсветить подозрительную активность, быстрее собрать контекст по инциденту и сократить время первичного анализа. Он не заменяет аналитика, но снимает часть шума, который мешает человеку увидеть главное.

Обратная сторона: атаки ускоряются тоже

У той же технологии есть вторая сторона. Reuters со ссылкой на Verizon DBIR пишет, что атакующие всё активнее используют AI для поиска и эксплуатации уязвимостей, а окно реакции для жертв сокращается с месяцев до часов. По данным Verizon, 31% из более чем 31 тыс. инцидентов начинались с эксплуатации уязвимостей.

CrowdStrike описывает похожую картину: в отчёте за 2026 год говорится о 89% росте атак AI-enabled adversaries и о том, что 82% обнаружений в 2025 году были malware-free — то есть злоумышленники всё чаще используют легитимные учётные данные, доверенные процессы и обычные инструменты вместо классического вредоносного файла.

Это неприятный сдвиг. Если атака не выглядит как «вирус», старые привычки защиты работают хуже.

Shadow AI: утечка без злого умысла

Есть и более бытовая проблема — Shadow AI. Сотрудники сами начинают использовать нейросети без согласования с IT-отделом: вставляют куски кода, внутренние документы, фрагменты договоров, клиентские данные или отчёты, чтобы быстрее получить объяснение, краткое резюме или черновик ответа.

Формально человек просто хотел ускорить работу. По факту чувствительная информация могла уйти в сервис, который компания не контролирует. Verizon называет Shadow AI заметной причиной неумышленных утечек, включая случаи отправки исходного кода во внешние AI-инструменты.

И это уже не классический сюжет про хакера извне. Это риск, который появляется внутри обычного рабочего процесса.

Prompt injection: когда данные становятся командой

Отдельный и более хитрый риск — prompt injection. Он особенно опасен для AI-агентов, у которых есть доступ к инструментам: браузеру, почте, внутренним документам, API, терминалу или системам автоматизации.

Сценарий выглядит просто. AI-ассистенту дают прочитать документ, письмо, issue, README или веб-страницу. Внутри этого текста злоумышленник прячет инструкцию: игнорировать прежние правила, найти секреты или выполнить действие, которое пользователь не имел в виду. Если агент плохо изолирован, он может перепутать внешний текст с настоящим заданием.

OWASP называет prompt injection главным риском для LLM-приложений: такие атаки манипулируют входными данными модели, чтобы изменить её поведение и обойти исходные инструкции. NIST отдельно описывает indirect prompt injection — ситуацию, когда вредная инструкция спрятана не в прямом запросе пользователя, а во внешнем контенте, который AI-система потом сама извлекает и читает.

Главная опасность — не в том, что модель «злая». Она просто может перепутать данные с командой. А если у неё есть слишком широкие права, последствия уже становятся реальными: утечка токенов, ключей, внутренних документов или выполнение нежелательных сетевых запросов.

Почему одного системного промпта мало

Защита здесь не сводится к фразе «никогда не отправляй секреты» в системной инструкции. Это полезно, но недостаточно. Нужны технические ограничения: запрет доступа к секретам по умолчанию, allowlist внешних доменов, подтверждение перед сетевыми запросами, изоляция терминала, журналирование действий агента и разделение данных и команд.

Именно здесь AI-безопасность становится похожа на обычную инженерную безопасность. Модель не должна сама решать, можно ли ей отправлять чувствительные данные наружу. Такие решения должны быть ограничены правами, политиками и подтверждениями.

Что это меняет для компаний

AI в кибербезопасности становится не отдельным инструментом, а частью операционной модели. Google в прогнозе на 2026 год пишет, что злоумышленники будут использовать AI для роста скорости и масштаба атак, а защитники — для усиления аналитики и security operations.

Поэтому вопрос уже не в том, использовать AI или нет. Вопрос — как именно. Подключить модель к анализу событий, настроить контроль доступа, логирование и правила работы с данными — это один путь. Хаотично раздать сотрудникам нейросети и AI-агентов — совсем другой.

AI не отменяет кибербезопасность. Он делает её более требовательной к скорости, дисциплине и контролю.

Итог

AI меняет не столько инструменты, сколько темп угроз. Раньше у компаний иногда были недели на реакцию, теперь окно может сжиматься до часов. При этом AI помогает и защитникам, и атакующим, поэтому выигрывает не тот, кто просто «внедрил нейросеть», а тот, кто встроил её в процессы с ограничениями. Самый острый конфликт сейчас — между управляемым AI и хаотичным Shadow AI, где утечки происходят не из злого умысла, а из желания быстрее сделать работу.

AI в кибербезопасности — это усилитель, а не волшебная кнопка. Хорошую команду он сделает быстрее, а слабые процессы может сделать ещё более хаотичными. Мне кажется, самая опасная зона сейчас — не только внешние атаки, но и неуправляемые AI-агенты внутри компаний. Если бизнес не объяснит людям, что можно отправлять в модели, а что нельзя, и не ограничит агентов технически, утечки будут случаться просто потому, что кто-то хотел сэкономить десять минут.

Источник: World Economic Forum Reuters / Verizon DBIR Verizon DBIR 2026 OWASP GenAI Security Project NIST AI 600-1