В ближайшее время почти четверть всех утечек данных будет связана с внедрением искусственного интеллекта. Этот вывод из исследования Б1 как нельзя лучше иллюстрирует новую реальность, в которой ИИ становится рабочим инструментом злоумышленников.

По данным совместного опроса VK и агентства Prognosis, семь из десяти российских компаний уже внедрили в своей работе те или иные ИИ-инструменты. Они используются в клиентской поддержке, продуктовом маркетинге, работе с внутренними базами данных и вопросах кибербезопасности. В этом случае ИИ-технологии разгружают персонал, берут на себя рутинные задачи и становятся инструментом защиты.

Полина Сокол, менеджер продукта группы развития ML-технологий ГК «Солар», рассказывает, как ИИ усложняет атаки и затрудняет их распознавание, как проявляется влияние ИИ в сфере фишинга, и как нейронные сети используются для обхода антивирусных баз. И главное — что противопоставляет этим технологическим вызовам рынок кибербезопасности.

ИИ в кибератаке: модификация кода в реальном времени для обхода антивирусов

В топе атак с использованием ИИ — АРТ-атаки (усовершенствованная постоянная угроза), вредоносное ПО с внедренным ИИ, дипфейки на базе генерации ИИ, DDoS-атаки и фишинг. Также искусственный интеллект уже используется для создания полиморфных вирусов. Они в реальном времени модифицируют свой код и обходят антивирусные базы. Так, специалистам по кибербезопасности уже хорошо известен вредонос BlackMamba. Он интегрирует языковые модели для изменения своего кода и уклонения от обнаружения. Вредонос подробно описали его создатели, исследователи из компании Hyas. BlackMamba использует безопасный исполняемый файл, который обращается к высокоуровневому API (например, к API ChatGPT от OpenAI). Он возвращает синтезированный вредоносный код для исполнения на зараженном устройстве пользователя с использованием функции Python exec(). Важно, что вредоносная полиморфная часть при этом полностью остается в памяти и не обнаруживается антивирусными решениями. При каждом запуске вредонос повторно синтезирует возможности кейлогинга, при этом основной вредоносный компонент так и не удается обнаружить. Этот вредонос опасен тем, что может собирать конфиденциальную информацию с устройств пользователя. Имена пользователей, номера кредитных карт, пароли и другие чувствительные данные через веб-перехватчик Microsoft Teams отправляется на вредоносный канал, где попадают в распоряжение злоумышленников.

ИИ в кибератаке: автоматизация фишинговых атак

Развитие больших языковых моделей создало тренд на массовое использование LLM в кибератаках: технологии усложняют атаки, автоматизируют их и затрудняют их распознавание. Хорошо известный в индустрии пример — вредоносное ПО LameHug, зафиксированное CERT-UA, которое использует открытую LLM. Мы наблюдаем явное влияние ИИ и в сфере фишинга. Да, компания Darktrace не может однозначно подтвердить использование ИИ во всех случаях, но есть косвенные признаки, которые указывают на активное применение нейросетевых инструментов во вредоносных электронных письмах. Эксперты наблюдают также тренд на использование злоумышленниками сложных писем. Большой объем текста или многоэтапные полезные нагрузки тоже могут быть прямым следствием использования LLM для генерации убедительного контента. Дипфейки и персонализированные письма, поддельные QR-коды, ускоренный поиск уязвимостей в коде и генерация эксплойтов — все это мы видим в новом, автоматизированном с помощью ИИ, фишинге.

Что еще остается в теории, так это полностью автономные ИИ. Предполагается, что они будут самостоятельно планировать и проводить сложные целевые атаки без участия человека. Но пока что мы видим ИИ как инструмент, ускоряющий и оптимизирующий отдельные этапы атак, но не заменяющий хакеров полностью.

Чем ответить на усложнение атак: защитные стратегии с применением ИИ

Атакам с использованием искусственного интеллекта уже не противопоставить человеческий ум. Автоматизированный подход — это высокая скорость, совсем иные масштабы и повторяемость кибератак. Противостоять им нужно также с использованием ИИ. Искусственный интеллект становится незаменимым инструментом в арсенале подразделений кибербезопасности, таких как Joint Special Operations Command (JSOC). Что дает его внедрение? Во-первых, это оперативное выявление новых уязвимостей. Далее - реакция на атаки в режиме реального времени, автоматическое выявление аномалий и подозрительных активностей задолго до начала полномасштабных вторжений. Кроме того, ИИ в киберобороне существенно повышает эффективность защиты критически важных объектов инфраструктуры и государственных учреждений, сокращает риски серьезные потерь.

Ответ индустрии кибербезопасности на усложнение атак — защитные стратегии с многоуровневым интеллектуальным контролем за данными. Например, в портфеле ГК «Солар» есть системы класса DLP (Solar Dozor), где технологии машинного обучения решают конкретные задачи. Это точная идентификация в потоке данных регламентированных документов — от сканов паспортов до сложных специализированных чертежей.

Кроме того, алгоритмы машинного обучения способны мгновенно распознавать необычные шаблоны поведения пользователей и сетевых устройств, помогают предотвратить несанкционированный доступ и утечку конфиденциальной информации. Важно еще и то, что ИИ быстро адаптируется к новым угрозам и за счет этого обеспечивает дополнительный уровень защиты.

ИИ задает контентному анализу скорость и высокую точность. Чем еще можно усилить инструментарий кибербезопасности? Мы в «Соларе» дополняем его модулями поведенческого анализа (UBA). Модуль входит в состав DLP-системы и занимается отслеживанием отклонений в действиях пользователей от их стандартных моделей поведения. Любые аномалии попадают в зону видимости специалистов по безопасности компании. Это увеличивает и скорость реакции на потенциальные информационные угрозы и утечки конфиденциальной информации, и упрощает расследование инцидентов. ИИ здесь становится в оборонительную позицию и помогает DLP-системе при распознавании атипичного поведения вовремя заблокировать передачу файла, вплоть до блокировки учетной записи сотрудника. Это эффективный инструмент против социальной инженерии, которая сегодня тоже использует технологии ИИ.

Шлюзы — решение против массовых угроз

Использование ИИ со стороны киберпреступников значительно расширило масштаб атак. Компании сегодня имеют дело с массовым угрозами — фишинг с ИИ-ассистированием и распространением вредоносного ПО через веб. Так, по разным отраслевым оценкам, уже до 82% фишинговых писем в российском сегменте интернета в 2025 году содержали признаки использования искусственного интеллекта, а в целом, объем подобных рассылок вырос на 53% в годовом выражении.

Со стороны кибериндустрии ответная нейтрализация предлагается через комплексные шлюзовые решения. Здесь ИИ стоит на защите внутренних корпоративных сетей и встраивается в системы класса SWG (Secure Web Gateway). К примеру, в своем продукте такого класса Solar webProxy мы обеспечиваем автоматическую фильтрацию трафика и блокировку угроз до их проникновения в корпоративную сеть. Кроме того, мы усиливаем защиту собственным категоризатором и актуальными данными об угрозах от центров киберразведки (IT FEEDS от центра исследования киберугроз Solar 4RAYS) — постоянные обновления позволяют системе быть «в курсе» новых угроз и не пропускать их. Вредоносное ПО обнаруживается без непосредственного участия ИБ-специалиста. Нежелательные категории заранее настраиваются в системе, а далее ИИ действует самостоятельно, автоматически фильтруя поступающий трафик. Этот тот случай, где ИИ крайне эффективно усиливает службу кибербезопасности и берет на себя точную и скоростную фильтрацию, с которой не справиться человеку.

ИИ заменяет человека в эксплойтах — миф или реальность?

Еще один повод для дискуссии в сообществе кибербезопасности задает способность ИИ генерировать эксплойты. Как скоро он заместит разработчиков? Как скоро мы полностью доверим ему генерацию фрагментов программного кода? ИИ-технологии развиваются очень быстро, и скоро ситуация может измениться, но прямо сейчас возможности ИИ в написании программ переоценивать не стоит. LLM действительно генерируют простые эксплойты и дают советы по их улучшению, ускоряют процесс написания кода. Моделям доступным огромные массивы данные и открытый код в интернете, но их собственный «продукт» пока невозможно использовать в чистом виде — каким его сгенерировал ИИ. Зачастую это грязный или избыточный код с ошибками. В индустрии такое явление уже получило название «навайбкодинг». Что хуже — это неоптимизированные и потенциально уязвимые решения, которые приходится вручную дорабатывать, чистить и проверять на безопасность. Вопрос анализа кода на безопасность мы решаем своей разработкой Solar appScreener. В это решение внедрены технологии статического анализа, анализа состава и цепочки поставок ПО. Использование ИИ хоть и ускоряет процесс создания эксплойтов, но и повышает требования к безопасности разработки — это принципиально важно знать при анализе кода, особенно неясной генерации. Возвращаясь же к прогнозам по «замене» человека в этой области: пока что ИИ уступает эксперту в творчестве, понимании контекста, адаптации к нестандартным ситуациям, надежности и чистоте кода.

Синергия специалиста и ИИ-инструментария — надежный сценарий безопасности

Роль эксперта по информационной безопасности меняется буквально на глаза всей индустрии: от ручного анализа мы перешли к управлению интеллектуальными система и к сотрудничеству с ИИ. Нейропомщники автоматизируют рутинные задачи, ускоряют принятие решений и освобождают ИБ-специалистов для более творческих и нестандартных задач — мы убедились в этом при разработке и эксплуатации наших платформ Solar SIEM и Solar inRights. В них мы на практике воплотили эту синергию ИБ-эксперта и ИИ-помощника, где человек задает условия и определяет сценарий, а искусственный интеллект встает на защиту — в том числе, от себе подобных ИИ-генераций.

Но даже с успешным внедрение собственных продуктов «Солара» с эффективными ИИ-решениями, мы не перекладываем ответственность на киберзащиту на искусственный интеллект. Современному ИБ-специалисту все так же важно обладать техническими навыками высокого уровня. Знать языки программирования, сетевые протоколы, инструменты анализа угроз. Обладать аналитическими навыками — аналитическим мышлением, умением работать с bigdata и машинными обучением. Наконец, вы «не сработаетесь» с ИИ без знания актуальных трендов, навыков киберразведки и навыков работы с ИИ-инструментами для защиты. Если спросить нас в «Соларе» о сотрудничестве человека и ИИ — мы видим его как союз компетентного ИБ-специалиста и широкого ИИ-инструментария.