Безопасность предприятий стремительно теряет позиции в борьбе с атаками, использующими искусственный интеллект. Этот сдвиг обусловлен не слабостью защитных мер, а фундаментальным изменением модели угроз. Злоумышленники теперь используют уязвимости во время выполнения, где время взлома измеряется секундами, а традиционная защита не успевает за ними. Скорость этих атак резко возросла по мере того, как злоумышленники используют ИИ для обхода обычных средств защиты.
Скорость эксплуатации
Глобальный отчёт CrowdStrike за 2025 год показывает, что время до взлома достигает всего 51 секунды. Атакующие переходят от первоначального доступа к латеральному перемещению до того, как большинство команд безопасности получают своё первое оповещение. Поразительные 79% обнаружений происходят без вредоносного ПО, при этом злоумышленники используют методы «ручного управления», которые полностью обходят защиту конечных точек. Это означает, что традиционные системы, основанные на сигнатурах, становятся всё менее эффективными против семантических атак.
Парадокс патчинга
Интервал между выпуском патча и его использованием в атаках сокращается. Главный специалист по безопасности Ivanti, Майк Ример, отмечает, что злоумышленники реконструируют патчи в течение 72 часов. Если предприятие не устанавливает патч в течение этого времени, оно остаётся уязвимым. Однако большинство организаций тратят недели или месяцы на применение обновлений, часто из-за конкурирующих приоритетов. Это создаёт критическое окно уязвимости, которое используют атакующие.
Почему традиционная безопасность терпит неудачу во время выполнения
Традиционная безопасность полагается на детерминированные правила и статические сигнатуры, которые недостаточны для борьбы со стохастической, семантической природой атак, нацеленных на ИИ. Семантические атаки, такие как внедрение подсказок (prompt injections), трудно обнаружить, потому что они маскируют вредоносные намерения под, казалось бы, безобидным языком. Исследования Gartner подтверждают это, заявляя, что 89% специалистов в области бизнеса обойдут рекомендации по кибербезопасности для достижения бизнес-целей. Теневой ИИ — это не риск, а неизбежность.
Одиннадцать векторов атак, обходящих обычные средства контроля
Топ-10 OWASP для приложений LLM за 2025 год ранжирует внедрение подсказок как самую критическую уязвимость. Однако это лишь один из одиннадцати векторов атак, которые руководителям служб безопасности необходимо учитывать. Каждый из них требует понимания как механики атаки, так и необходимых оборонительных мер.
- Прямое внедрение подсказок : Модели отдают приоритет командам пользователей над обучением безопасности, позволяя взломам преуспевать в среднем за 42 секунды, что приводит к утечке конфиденциальных данных в 20% случаев.
- Камуфляжные атаки : Встраивание вредоносных запросов в безвредные беседы достигают 65% успеха в восьми моделях всего за три хода.
- Многоходовые крещендо-атаки : Распределение полезной нагрузки на несколько ходов обходит защиту однозапросных систем, достигая 98% успеха на GPT-4 и 100% на Gemini-Pro.
- Непрямое внедрение подсказок (отравление RAG) : Внедрение всего пяти вредоносных текстов в базы данных, содержащие миллионы документов, приводит к 90% успешности атаки.
- Атаки обфускации : Кодирование вредоносных инструкций с использованием ASCII-арта или Unicode обходит фильтры ключевых слов, достигая до 76,2% успеха в основных LLM.
- Извлечение модели : Реконструкция запатентованных возможностей с помощью запросов API может извлечь 73% сходства из ChatGPT-3.5-Turbo всего за 50 долларов в виде затрат на API.
- Истощение ресурсов (атаки «губки») : Эксплуатация сложности внимания Transformer может ухудшить работу сервиса, увеличив задержку до 6000× в некоторых случаях.
- Мошенничество с синтетическими личностями : Сгенерированные ИИ личности обходят традиционные модели мошенничества, составляя 85–95% синтетических заявителей.
- Мошенничество с использованием дипфейков : Сгенерированные ИИ аудио- и видеоматериалы выдают себя за руководителей, что приводит к убыткам в размере 25 миллионов долларов в отдельных случаях, таких как дело Arup.
- Утечка данных через небрежных инсайдеров : Сотрудники, передающие конфиденциальные данные в общедоступные LLM, будут составлять 80% несанкционированных транзакций с ИИ к 2026 году.
- Эксплуатация галлюцинаций : Противоречивые подсказки заставляют модели усиливать ложные выводы, что становится опасно при интеграции в автоматизированные рабочие процессы.
Путь вперёд: пять приоритетов развёртывания
Ситуация требует немедленных действий. Gartner прогнозирует, что 25% корпоративных взломов будут связаны с злоупотреблением агентами ИИ к 2028 году. Главный специалист по безопасности AWS, Крис Бетц, подчёркивает, что компании часто упускают из виду безопасность самого приложения в своей спешке с развёртыванием генеративного ИИ.
Чтобы закрыть пробел, организациям необходимо уделять первоочередное внимание:
- Автоматизировать развёртывание патчей : Внедрить автономное патчинга, связанное с облачным управлением, для решения проблемы 72-часового окна.
- Сначала развёртывать нормализующие слои : Декодировать Base64, ASCII-арт и Unicode перед семантическим анализом.
- Внедрить отслеживание контекста с состоянием : Обнаруживать многоходовые атаки, отслеживая историю разговоров.
- Установить иерархию инструкций RAG : Рассматривать извлечённые данные только как данные, предотвращая выполнение вредоносного кода.
- Распространять идентификацию в подсказках : Внедрять метаданные пользователей для правильного контекста авторизации.
Как говорит Майк Ример, «Пока я не знаю, что это и кто находится по другую сторону клавиатуры, я не буду с этим общаться». Этот подход нулевого доверия больше не является модным словом, а является оперативной необходимостью.
Время для построения защиты истекает. Microsoft оставался незамеченным в течение трёх лет, а Samsung сливал код в течение недель. Вопрос не в том, следует ли развёртывать безопасность на уровне вывода, а в том, смогут ли организации закрыть пробел до того, как станут следующей поучительной историей.
