Искусственный интеллект уже воюет сам с собой: «плохие» модели ускоряют фишинг и вымогательство, «хорошие» закрывают дыры быстрее, чем это делает человек. Разберёмся, где ИИ — союзник, а где он срывается в «врага», и что конкретно делать бизнесу, чтобы выигрывать эту гонку.
Что изменилось в 2024–2025: ИИ по обе стороны баррикад
Атаки стали «умнее» и массовее. По данным Check Point, компрометация учётных данных в 2025-м подскочила на 160% — украденные логины стали самым удобным входом в сети компаний.
Параллельно руководители SOC всё чаще доверяют ИИ рутину: автотриаж алёртов, первичную корреляцию и быстрые ответы на инциденты. По опросу ISC2, около 30% специалистов уже внедрили ИИ-инструменты, ещё 42% — в оценке, а CIO/CISO переводят Tier-1/2 задачи на «агентов».
Но и злоумышленники не стоят на месте. Свежие расследования показывают: генеративный ИИ помогает группам ускорять вымогательство, персонализировать угрозы и даже автоматизировать весь цикл атаки — от разведки до написания шифровальщика и записки с выкупом.
Итог: асимметрия растёт — скорость стала ключевым преимуществом в защите и в атаке. Даже лидеры меняют плейбуки чаще обычного.
Где ИИ — союзник безопасности (и что реально работает)
1) Реакция быстрее. Модели берут на себя поток «шумных» инцидентов, освобождая экспертов для сложных расследований. Компании откровенно признают: без ИИ SOC тонет в алёртах.
2) Поиск «аномалий людей». Алгоритмы лучше ловят утечки, идущие через законные учётки: странные паттерны входов, скачки привилегий, необычные маршруты данных. Именно по этой причине рост кражи паролей так опасен.
3) Threat intel без ручной рутины. ИИ суммирует отчёты, строит графы TTP и предлагает гипотезы, а не просто «выгружает IOC-листы». (Именно так многие переводят Tier-1 аналитику в «авто».)
4) Переход к «безпарольному» миру. ИИ помогает операционализировать passkeys, динамические политики доступа и поведенческие факторы — так вы сокращаете самую популярную точку взлома: статические пароли.
Где ИИ ломается и превращается во «врага»
Галлюцинации и уверенная ложь. Модели могут придумать «факты», что опасно в форензике и при автоматических решениях. И IBM, и академические работы предупреждают: репутационные и операционные риски реальны, а детекция «конфабуляций» — отдельная дисциплина.
Уязвимости самих ИИ-систем. Prompt injection, утечки контекста, небезопасные инструменты/плагины — всё это уже формализовано в OWASP Top-10 для LLM.
Атаки на данные и модель. NIST фиксирует риски «poisoning» и «model poisoning» (особенно в федеративном обучении и цепочке поставок ИИ). В корпоративной практике это значит: проверяйте источники данных и артефакты модели так же жёстко, как код.
Эскалация атак с ИИ. От «вибе-вымогательства» и ИИ-фишинга до автономных сценариев — исследования показывают, что «плохие» модели снижают порог входа для криминала.
Кто выигрывает, а кто рискует (и что делать)
| Аудитория/процесс | Плюс от ИИ | Основной риск | Меры |
|---|---|---|---|
| SOC (Tier-1/2) | Автотриаж, корреляция алёртов | Галлюцинации/ложные «закрытия» | Human-in-the-loop, плейбуки с порогами эскалации |
| Идентичности и доступ | Аномалии входов, риск-скоринг | Кража учёток, атакующие «как легитимный юзер» | Passkeys/MFA «везде», PAM, мониторинг утечек |
| Разработка ИИ-функций | Быстрые MVP и ассистенты разработчика | Prompt-injection, утечка контекста | OWASP LLM Top-10, секреты вне контекста, «узкие» инструменты |
| Данные/обучение | Новые инсайты из логов и телеметрии | Data/model poisoning, supply-chain | Подпись/версионирование датасетов и моделей, контроль источников |
| Бизнес-операции | Автоматизация ответов и сервис-деска | Неуместная автономия, «заблокировал не то» | Границы полномочий агентов, «kill-switch», журналирование |
Чек-лист внедрения: как сделать ИИ союзником
Кейсы недели: коротко
«ИИ-вымогатели» на практике. Исследования показывают автоматизацию целого цикла вымогательства при помощи генеративного ИИ — от отбора жертв до написания шифровальщика и переговоров.
Бизнес ускоряет внедрение «агентов». Руководители переносят Tier-1/2 на ИИ — это уже не эксперимент, а способ выживания SOC в потоке событий.
Кража паролей — эпидемия. В 2025-м взрывной рост утечек учёток — главный аргумент в пользу passkeys и контроля сессий.
Вывод
ИИ — это не «враг» и не «спаситель», а инструмент со скоростью. Побеждает тот, кто задаёт границы автономии, защищает данные и меряет время реакции. Больше всех выиграют команды, которые быстро учатся и не боятся переписывать плейбуки.
Первый шаг сегодня: включите passkeys/MFA везде, ограничьте права ИИ-агентов и заведите kill-switch. Завтра — замерьте, насколько упали MTTD и MTTR.
