В условиях, когда злоумышленники все активнее используют искусственный интеллект, меняется и характер кибератак. В очередном ежегодном обзоре инцидентов, подготовленном компанией Verizon, отмечается, что уязвимости, выявленные и использованные с помощью AI-технологий, в прошлом году начали играть более заметную роль, чем кража учетных данных. Иными словами, атаки все чаще стартуют не с «взлома пароля», а с эксплуатации слабых мест в системах.
Главный вывод: эксплуатация уязвимостей опережает «стolen credentials»
Verizon проанализировал свыше 31 000 инцидентов безопасности, собранных в отрасли. По итогам исследования выяснилось: 31% всех утечек данных начинались именно с эксплуатации уязвимостей — в среде, где технологии ИИ активно помогают и защитникам, и атакующим.
В отчете отдельно подчеркивается, что злоумышленники применяют ИИ для ускорения процесса атаки. Формулировка сводится к следующему: время от обнаружения известной уязвимости до ее успешного использования сокращается — и вместо длительных периодов, которые давали организациям шанс подготовить защиту, атакующая сторона может уложиться буквально в часы.
Генеративный ИИ на всех этапах атаки
В обзоре также говорится, что киберпреступники используют генеративный ИИ не только для «поиска цели» или автоматизации отдельных задач. Его вовлекают в разные стадии атаки — от выбора направления и первых шагов проникновения до разработки вредоносных программ и вспомогательных инструментов.
Что именно означает «генеративный ИИ»
Генеративный ИИ — это класс систем, которые способны создавать тексты, фрагменты кода, инструкции и другие формы контента на основе заданных данных. В киберсреде это может выражаться, например, в более быстром составлении сценариев атак, подготовке вариантов полезной нагрузки и генерации технических фрагментов, упрощающих разработку инструментов.
Пока влияние ИИ — в операционном масштабе
Авторы отчета отмечают, что ключевой эффект ИИ на данный момент носит прикладной, «операционный» характер. ИИ в первую очередь помогает автоматизировать и расширять те методы, которые защитники уже умеют обнаруживать и которым уже обучаются противостоять.
При этом пока не утверждается, что ИИ уже «открывает» принципиально новые и редкие поверхности атак. Иными словами, угрозы развиваются в рамках известных направлений, но быстрее и в большем масштабе.
Почему оценка рисков может быстро устареть
Тем не менее в документе звучит предупреждение: по мере дальнейшего ускорения прогресса в ИИ текущие оценки рисков могут стать менее точными. Если технологии начнут эффективнее выявлять ранее неочевидные слабые места или ускорят разработку эксплойтов, временной коридор для защиты может еще сильнее сократиться.
Сколько «техник» используют злоумышленники при помощи ИИ
Согласно отчету, злоумышленники, как правило, прибегают к помощи ИИ, чтобы поддержать работу примерно по 15 различным техникам атаки. В некоторых случаях число таких техник может доходить до 50.
О чем отчет не говорит: модель Mythos и растущие опасения
Отдельно указано, что в обзор не включены данные, связанные с моделью Mythos — новым ИИ-решением, вокруг которого возникли широкие обсуждения в контексте кибербезопасности.
Mythos был объявлен 7 апреля и задействуется в рамках инициативы Anthropic под названием «Project Glasswing». Речь идет о контролируемом проекте, где ограниченному кругу организаций разрешают использовать находящийся в превью и пока не выпущенный полностью Claude Mythos Preview. Цель такого использования — применение в оборонительных сценариях киберзащиты. В числе участников, которым предоставлен доступ к модели, упоминается и Verizon.
Почему Mythos считают особенно «сильным» в уязвимостях
По мнению экспертов, Mythsos демонстрирует высокий уровень навыков в написании кода. Это, в свою очередь, может дать системе потенциально беспрецедентную способность: не только выявлять уязвимости в системах, но и предлагать способы их эксплуатации.
Позиция Verizon: «бороться с ИИ с помощью ИИ»
Глава отдела информационной безопасности Verizon Насрин Резаи подчеркнула необходимость оперативно реагировать на нарастающие угрозы.
По ее словам, компании должны внедрять ИИ в собственные процессы защиты: использовать его в разработке программного обеспечения, в тестировании и в кибероборонительных практиках. Резаи прямо обозначила идею масштабного применения подходов, которых у организаций еще не было в таком объеме.
Справка: почему сокращение «окна защиты» так критично
Ключевой риск, о котором говорят в отраслевых исследованиях, связан с тем, что у защитников появляется меньше времени на реакцию. Если на устранение уязвимости или на развертывание защитных мер ранее могли уходить месяцы, то ускорение подготовки эксплойта до часов резко усложняет работу команд безопасности — особенно в среде, где обновления не всегда можно быстро внедрять из‑за инфраструктурных ограничений.