Рассказываем о том, как искусственный интеллект превращается в оружие злоумышленников, и есть ли защита от этой угрозы.
В августе 2025 года антивирусная компания ESET обнаружила новый вирус-шифровальщик PromptLock. Он стал первой программой-вымогателем, которая использовала ИИ не как вспомогательный инструмент для разработчика, а как непосредственного исполнителя атакующих действий прямо на устройстве жертвы.
PromptLock оказался исследовательским проектом Tandon School of Engineering Нью-Йоркского университета. Создавшие его ученые подсчитали: один полный цикл атаки расходовал около 23 000 токенов, что по тарифам API GPT-5 стоило примерно 0,70 доллара.
ИИ в контуре атаки, генерирующий уникальный полиморфный код под каждую жертву, открыл новую главу в кибербезопасности. Если раньше на создание вируса уходили месяцы работы команды хакеров, то теперь для этого достаточно нескольких промптов и доступа к API.
Vibe Hacking: Новая угроза
Vibe Coding – это когда ИИ пишет код за программиста, а Vibe Hacking – когда ИИ-агенты взламывают системы за хакера.
Вот конкретный пример из отчета по использованию моделей семейства Claude от Anthropic: хакеры убедили нейросеть, что она участвует в легальном пентесте, хотя на самом деле целью были реальные компании. ИИ самостоятельно сканировал инфраструктуру жертв, подбирал пароли, находил уязвимости и даже писал кастомные вредоносные инструменты для закрепления в сети.
В одном случае, украв данные, нейросеть смогла проанализировать их, самостоятельно рассчитать и назначить сумму выкупа. В другом – злоумышленники создали фейковые профили IT-специалистов. С помощью ИИ они успешно прошли технические собеседования в компании из списка Fortune-500 и получили доступ к корпоративным сетям. А затем стали заниматься промышленным шпионажем, пока ИИ выполнял за них рабочие задачи.
Слабые места ИИ
Что такое нейросеть? Если упрощенно, это математическая модель, которая ищет зависимости в данных. Есть входные данные (например, код программы), есть скрытые слои, где данные взвешиваются и трансформируются, и есть результат.
Главных причин уязвимости ИИ две: доступность и непрозрачность.
- Атака на токенах стоит копейки. Модели с открытым кодом вообще бесплатны. Хакеру не нужно быть гением математики, ему нужно уметь грамотно формулировать запросы.
- Глубокое обучение часто непонятно даже создателям. Мы не всегда знаем, почему нейросеть приняла то или иное решение.
Существуют различные типы атак, направленных на модели искусственного интеллекта. Один из них – Data Poisoning. Если ИИ обучается на информации из открытых источников, злоумышленник может заранее внедрить туда искаженные данные. В результате модель обучается некорректно и начинает допускать ошибки.
Другой тип – Adversarial Attacks. В этом случае невидимые для человека шумы вводят нейросеть в заблуждение и заставляют ее работать неправильно. Например, наклеив на дорожный знак специальные наклейки, можно заставить автопилот автомобиля неправильно распознать его или вообще проигнорировать.
Почему традиционная защита бессильна
Традиционные антивирусы ищут известные сигнатуры, а ИИ-вирус каждый раз генерирует новый код. Он полиморфен. Вчерашняя защита не работает против сегодняшней атаки.
Автоматизированный фишинг неотличим от реальности: ИИ пишет письма, копируя стиль ваших партнеров, или имитирует голос вашего директора с помощью дипфейков. Не менее опасны боты, которые маскируются под реальных пользователей, выкупают товары и накручивают отзывы.
В компаниях появляется новый тип инсайдера – не человек, а скомпрометированный аккаунт, за которым стоит ИИ-ассистент.
Новая линия обороны
Логично, что для поимки ИИ-хакера нужен ИИ-защитник. Microsoft Security Copilot и Google Cloud Security внедряют в свои SOC искусственный интеллект, который анализирует аномалии быстрее человека.
Появились специализированные шлюзы (например, от Lakera, Robust Intelligence или HiddenLayer), которые работают как фаерволы для нейросетей. Они проверяют входящие промпты на попытки взлома и исходящие данные на утечку секретов.
Для защиты от дипфейков и ИИ-сотрудников внедряются системы биометрической проверки и многофакторной аутентификации, которые требуют физического присутствия или аппаратных ключей.
Конечно, никакой софт не спасет, если сотрудник вводит корпоративные данные в публичный чат-бот. Нужны строгие регламенты: какие модели можно использовать, какую информацию запрещено загружать. Безопасность ИИ начинается не с кода, а с культуры обращения с данными.
Читайте также
читайте наш блог о всем самом интересном,
расскажем и покажем кухню легиона изнутри
'%3E%3Cellipse cx='68.2542' cy='381.143' rx='68.2542' ry='381.143' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1236.79 669.182)' fill='%23FF2B5F' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter1_f_3008_1418)'%3E%3Cellipse cx='68.2542' cy='188.98' rx='68.2542' ry='188.98' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1048.82 669.182)' fill='%23FF7032' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter2_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1109.56 773)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter3_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 107.614 260.605)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cdefs%3E%3Cfilter id='filter0_f_3008_1418' x='806.561' y='-242.975' width='659.378' height='1039.13' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter1_f_3008_1418' x='765.351' y='106.29' width='520.23' height='692.56' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter2_f_3008_1418' x='804.651' y='132.995' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter3_f_3008_1418' x='-197.291' y='-379.399' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3C/defs%3E%3C/svg%3E%0A)
Что мешает руководителю по ИБ быть услышанным на уровне бизнеса?
Дело не в качестве ваших аргументов, а в том, что руководитель компании мыслит в других категориях.
Киберпреступность в эпоху тотальной конвергенции. Что происходит?
Хакеры-одиночки остались в прошлом. Киберпреступность сегодня – это высокомаржинальная индустрия с автоматизированными процессами.
Кто атакует российский бизнес?
Разбираемся, кто это такие, как работают, кого выбирают в качестве жертв, и, самое главное, как от них защититься.
Почему традиционная защита бессильна против ИИ-атак
Microsoft опубликовала отчет, согласно которому искусственный интеллект перестал быть экспериментальной игрушкой в руках злоумышленников.
Как избежать штрафов ФСТЭК в 2026 году
Рассказываем, как не ошибиться с выбором в условиях ужесточения требований к информационной безопасности.