Некоторые исследователи в области кибербезопасности утверждают, что пока рано беспокоиться о кибератаках, организованных с помощью искусственного интеллекта. Другие же считают, что это уже может происходить.
12 февраля 2026 г. 
Антон Черепанов всегда в поисках чего-нибудь интересного. И в конце августа прошлого года он обнаружил именно это. Это был файл, загруженный на VirusTotal, сайт, который исследователи кибербезопасности, такие как он, используют для анализа поступающих данных на предмет потенциальных вирусов и других типов вредоносного программного обеспечения, часто называемого вредоносными программами. На первый взгляд, он казался безобидным, но активировал разработанные Черепановым средства обнаружения вредоносных программ. В течение следующих нескольких часов он и его коллега Петер Стрычек изучили образец и поняли, что никогда раньше не сталкивались ни с чем подобным.
Файл содержал программу-вымогатель — опасный тип вредоносного ПО, который шифрует файлы, обнаруженные в системе жертвы, делая их непригодными для использования до тех пор, пока не будет выплачен выкуп злоумышленникам. Но этот пример отличался тем, что в нем использовались большие языковые модели (LLM). Причем не просто случайно, а на каждом этапе атаки. После установки программа могла использовать LLM для генерации пользовательского кода в реальном времени, быстро определять местоположение компьютера для идентификации конфиденциальных данных, которые необходимо скопировать или зашифровать, и писать персонализированные записки с требованием выкупа на основе содержимого файлов. Программа могла делать это автономно, без какого-либо вмешательства человека. И каждый раз при запуске она вела себя по-разному, что затрудняло ее обнаружение.
Связанная статья
Черепанов и Стрычек были уверены, что их открытие, которое они назвали PromptLock, ознаменовало поворотный момент в генеративном искусственном интеллекте, показав, как эту технологию можно использовать для создания высокогибких вредоносных атак. Они опубликовали сообщение в блоге, заявив, что обнаружили первый пример программы-вымогателя, работающей на основе ИИ, которая быстро привлекла широкое внимание мировых СМИ.
Однако угроза оказалась не столь серьезной, как казалось на первый взгляд. На следующий день после публикации в блоге группа исследователей из Нью-Йоркского университета взяла на себя ответственность за атаку, объяснив, что вредоносное ПО на самом деле не было полномасштабной атакой, запущенной в дикую природу, а представляло собой исследовательский проект, призванный лишь доказать возможность автоматизации каждого этапа кампании по вымогательству — что, по их словам, им и удалось.
Возможно, PromptLock оказался всего лишь академическим проектом, но настоящие злоумышленники используют новейшие инструменты искусственного интеллекта. Подобно тому, как инженеры-программисты используют искусственный интеллект для написания кода и проверки на наличие ошибок, хакеры используют эти инструменты для сокращения времени и усилий, необходимых для организации атаки, снижая барьеры для менее опытных злоумышленников, желающих что-либо предпринять.
Вероятность того, что кибератаки со временем станут более распространенными и эффективными, – это не отдаленная перспектива, а «чистая реальность», – говорит Лоренцо Кавалларо, профессор компьютерных наук в Университетском колледже Лондона.
Некоторые представители Кремниевой долины предупреждают, что ИИ находится на пороге возможности осуществления полностью автоматизированных атак. Но большинство исследователей в области безопасности считают это утверждение преувеличенным. «Почему-то все сосредоточены на идее вредоносного ПО, на идее суперхакеров с искусственным интеллектом, что просто абсурдно», — говорит Маркус Хатчинс, ведущий исследователь угроз в компании Expel, известный в мире безопасности тем, что в 2017 году пресек масштабную глобальную атаку программ-вымогателей WannaCry.
Вместо этого, как утверждают эксперты, нам следует уделять больше внимания гораздо более непосредственным рискам, связанным с искусственным интеллектом, который уже ускоряет и увеличивает количество мошеннических схем. Преступники все чаще используют новейшие технологии дипфейков, чтобы выдавать себя за других людей и обманывать жертв, выманивая у них огромные суммы денег. Эти кибератаки с использованием ИИ будут становиться все более частыми и разрушительными, и мы должны быть к этому готовы.
Спам и не только
Злоумышленники начали использовать инструменты генеративного ИИ практически сразу после того, как ChatGPT стремительно ворвался на сцену в конце 2022 года. Эти усилия начались, как вы можете себе представить, с создания спама — и его было очень много. В прошлом году в отчете Microsoft говорилось, что за год до апреля 2025 года компания заблокировала мошеннические схемы и транзакции на сумму 4 миллиарда долларов, «многие из которых, вероятно, были осуществлены с помощью контента, созданного с помощью ИИ».
По оценкам исследователей из Колумбийского университета, Чикагского университета и Barracuda Networks, проанализировавших почти 500 000 вредоносных сообщений, собранных до и после запуска ChatGPT, по меньшей мере половина спам-писем теперь генерируется с использованием LLM-методов. Они также обнаружили доказательства того, что ИИ все чаще используется в более сложных схемах. Они изучили целенаправленные атаки по электронной почте, в ходе которых злоумышленники выдают себя за доверенное лицо, чтобы обманом завладеть средствами или конфиденциальной информацией сотрудника организации. К апрелю 2025 года, как выяснилось, по меньшей мере 14% таких целенаправленных атак по электронной почте были сгенерированы с использованием LLM-методов, по сравнению с 7,6% в апреле 2024 года.
В одном громком деле сотрудника обманом заставили перевести 25 миллионов долларов преступникам посредством видеозвонка с цифровыми версиями финансового директора компании и других сотрудников.
Бум генеративного искусственного интеллекта сделал создание не только электронных писем, но и очень убедительных изображений, видео и аудио проще и дешевле, чем когда-либо. Результаты намного реалистичнее, чем даже всего несколько лет назад, и для создания поддельной версии чьего-либо изображения или голоса требуется гораздо меньше данных, чем раньше.
Преступники используют подобные дипфейки не для того, чтобы разыгрывать людей или просто дурачиться — они делают это, потому что это работает и потому что они на этом зарабатывают, говорит Генри Айдер, эксперт по генеративному искусственному интеллекту. «Если на этом можно заработать, и люди продолжают попадаться на эту уловку, они будут продолжать это делать», — говорит он. В одном громком деле, о котором сообщалось в 2024 году, сотрудника британской инженерной фирмы Arup обманом заставили перевести 25 миллионов долларов преступникам через видеозвонок с цифровыми версиями финансового директора компании и других сотрудников. Вероятно, это лишь верхушка айсберга, и проблема, создаваемая убедительными дипфейками, скорее всего, будет только усугубляться по мере совершенствования и более широкого распространения этой технологии.
БРАЙАН СТАВФФЕРТактика преступников постоянно меняется, и по мере совершенствования возможностей ИИ такие люди постоянно изучают, как эти новые возможности могут помочь им получить преимущество над жертвами. Билли Леонард, технический руководитель группы анализа угроз Google, внимательно следит за изменениями в использовании ИИ потенциальными злоумышленниками (широко используемый в отрасли термин для хакеров и других лиц, пытающихся использовать компьютеры в преступных целях). Во второй половине 2024 года он и его команда заметили, что потенциальные преступники используют такие инструменты, как Google Gemini, так же, как и обычные пользователи — для отладки кода и автоматизации отдельных частей своей работы, а также поручают им написание фишинговых писем. К 2025 году они перешли к использованию ИИ для создания новых вредоносных программ и их распространения, говорит он.
Главный вопрос сейчас заключается в том, насколько далеко может зайти подобное вредоносное ПО. Сможет ли оно когда-нибудь стать достаточно эффективным, чтобы незаметно проникать в системы тысяч компаний и выкачивать миллионы долларов, оставаясь совершенно незамеченным?
Большинство популярных моделей ИИ имеют механизмы защиты, предотвращающие генерацию вредоносного кода или незаконных материалов, но злоумышленники всё равно находят способы их обойти. Например, Google наблюдал, как связанный с Китаем злоумышленник попросил модель Gemini AI выявить уязвимости в скомпрометированной системе — запрос, который компания первоначально отклонила по соображениям безопасности. Однако злоумышленнику удалось убедить Gemini нарушить собственные правила, выдав себя за участника соревнований по захвату флага, популярной игры в сфере кибербезопасности. Этот хитрый способ взлома системы позволил Gemini передать информацию, которая могла быть использована для эксплуатации уязвимости. (С тех пор Google внесла изменения в Gemini, чтобы отклонять подобные запросы.)
Связанная статья
Но злоумышленники не ограничиваются попытками использовать модели гигантов ИИ в своих корыстных целях. В будущем они все чаще будут перенимать модели ИИ с открытым исходным кодом, поскольку из них легче удалить средства защиты и заставить их делать вредоносные вещи, говорит Эшли Джесс, бывший специалист по тактике в Министерстве юстиции США, а ныне старший аналитик разведки в компании по кибербезопасности Intel 471. «Я думаю, что именно такие модели будут использовать злоумышленники, потому что они могут взломать их и адаптировать под свои нужды», — говорит она.
Команда из Нью-Йоркского университета использовала две модели с открытым исходным кодом от OpenAI в своем эксперименте PromptLock, и исследователи обнаружили, что им даже не пришлось прибегать к методам взлома, чтобы заставить модель делать то, что они хотели. Они говорят, что это значительно упрощает атаки. Хотя такие модели с открытым исходным кодом разрабатываются с учетом этических принципов, то есть их создатели учитывают определенные цели и ценности при определении того, как они реагируют на запросы, у этих моделей нет тех же ограничений, что и у их аналогов с закрытым исходным кодом, говорит Мит Удеши, аспирант Нью-Йоркского университета, работавший над проектом. «Именно это мы и пытались проверить», — говорит он. «Эти модели с открытым исходным кодом утверждают, что они этически соответствуют требованиям — можем ли мы все еще злоупотреблять ими в этих целях? И ответ оказался положительным».
Вполне возможно, что преступники уже успешно осуществляли скрытые атаки в стиле PromptLock, и мы просто не видели никаких доказательств их эффективности, говорит Удеши. Если это так, то злоумышленники могли бы — теоретически — создать полностью автономную систему взлома. Но для этого им пришлось бы преодолеть существенный барьер, заключающийся в обеспечении надежной работы моделей ИИ, а также любое врожденное неприятие моделями использования в злонамеренных целях — и все это, избегая обнаружения. Что, безусловно, является довольно высокой планкой.
Инструменты повышения производительности для хакеров
Итак, что же нам известно наверняка? Наиболее полные данные о том, как люди пытаются использовать ИИ в злонамеренных целях, поступают от самих крупных компаний, занимающихся разработкой ИИ. И их выводы, безусловно, звучат тревожно, по крайней мере, на первый взгляд. В ноябре команда Леонарда в Google опубликовала отчет, в котором сообщалось, что злоумышленники используют инструменты ИИ (включая Gemini от Google) для динамического изменения поведения вредоносного ПО; например, оно может самомодифицироваться, чтобы избежать обнаружения. Команда написала, что это положило начало «новой фазе злоупотребления ИИ».
Связанная статья
Однако, как отметил в социальных сетях эксперт по кибербезопасности Кевин Бомонт, пять семейств вредоносных программ, рассмотренных в отчете (включая PromptLock), состояли из кода, который легко обнаруживался и фактически не причинял никакого вреда. «В отчете нет ничего, что указывало бы на необходимость отклонения организаций от базовых программ безопасности — все работало как положено», — написал он.
Леонард признает, что эта вредоносная активность находится на ранней стадии. Тем не менее, он видит ценность в том, чтобы публиковать подобные отчеты, если это помогает поставщикам решений в области безопасности и другим компаниям создавать более надежные средства защиты для предотвращения более опасных атак с использованием ИИ в будущем. «Это банально, но солнечный свет — лучший дезинфектант», — говорит он. «Нам нет никакой пользы в том, чтобы держать это в секрете или скрывать. Мы хотим, чтобы люди знали об этом — мы хотим, чтобы другие поставщики решений в области безопасности знали об этом — чтобы они могли продолжать создавать свои собственные средства обнаружения».
И дело не только в новых разновидностях вредоносного ПО, с которыми экспериментируют потенциальные злоумышленники, — похоже, они также используют ИИ для автоматизации процесса взлома целей. В ноябре компания Anthropic объявила о предотвращении крупномасштабной кибератаки, первого зарегистрированного случая, осуществленного без «существенного вмешательства человека». Хотя компания не стала вдаваться в подробности о точной тактике, использованной хакерами, авторы отчета заявили, что спонсируемая государством китайская группа использовала ее помощника Claude Code для автоматизации до 90% того, что они назвали «высокоизощренной шпионской кампанией».
«Мы вступаем в эпоху, когда барьер для проведения сложных киберопераций принципиально снизился, и темпы атак будут ускоряться быстрее, чем многие организации к этому готовы».
Джейкоб Кляйн, руководитель отдела анализа угроз в компании Anthropic.
Но, как и в случае с результатами расследования Google, здесь были оговорки. Цели выбирал человек, а не ИИ, прежде чем поручить Клоду выявление уязвимостей. И из 30 попыток лишь «несколько» оказались успешными. В отчете Anthropic также говорится, что Клод испытывал галлюцинации и в итоге фальсифицировал данные во время кампании, утверждая, что получил учетные данные, которых у него не было, и «часто» преувеличивая свои выводы, поэтому злоумышленникам пришлось бы тщательно проверять эти результаты, чтобы убедиться в их достоверности. «Это остается препятствием для полностью автономных кибератак», — пишут авторы отчета.
Существующие механизмы контроля в любой достаточно защищенной организации остановили бы эти атаки, говорит Гэри МакГроу, опытный эксперт по безопасности и соучредитель Института машинного обучения Берривилля в Вирджинии. «Ни одна из частей вредоносной атаки, например, использование уязвимости… на самом деле не была выполнена искусственным интеллектом — это были просто готовые инструменты, которые делают это, и это автоматизировано уже 20 лет», — говорит он. «В этой атаке нет ничего нового, креативного или интересного».
Компания Anthropic утверждает, что выводы отчета являются тревожным сигналом грядущих изменений. «Объединение такого количества этапов кампании по вторжению с помощью [искусственного интеллекта]-управления беспрецедентно», — заявил в своем заявлении Джейкоб Кляйн, руководитель отдела анализа угроз в Anthropic. «Это превращает всегда трудоемкий процесс в нечто гораздо более масштабируемое. Мы вступаем в эпоху, когда барьер для сложных кибер-операций принципиально снизился, и темпы атак будут ускоряться быстрее, чем многие организации к этому готовы».
Некоторые не уверены, что есть основания для тревоги. По словам Хатчинса, ажиотаж вокруг ИИ заставил многих в индустрии кибербезопасности переоценить нынешние возможности моделей. «Им нравится идея неудержимого ИИ, способного перехитрить системы безопасности, поэтому они прогнозируют, что именно к этому мы и движемся», — говорит он. Но «просто нет никаких доказательств в поддержку этого, потому что возможности ИИ просто не соответствуют ни одному из требований».
БРАЙАН СТАВФФЕРДействительно, на данный момент преступники, похоже, в основном используют ИИ для повышения своей производительности: применяют LLM для написания вредоносного кода и фишинговых приманок, для проведения разведки и для перевода языков. Джесс часто наблюдает подобную активность, а также попытки продажи инструментов на подпольных криминальных рынках. Например, существуют фишинговые наборы, которые сравнивают показатели кликабельности различных спам-кампаний, позволяя преступникам отслеживать, какие кампании наиболее эффективны в данный момент. Она наблюдает много подобной активности в том, что можно назвать «ландшафтом ИИ-развалин», но не так широкое «внедрение со стороны высокотехнологичных игроков», говорит она.
Однако для эффективности атак не обязательно быть сложными. Модели, дающие «достаточно хорошие» результаты, позволяют злоумышленникам атаковать большее количество людей, чем это было возможно ранее, говорит Лиз Джеймс, ведущий консультант по безопасности в компании NCC Group. «Речь идет о том, что кто-то может использовать метод «стрельбы из дробовика», фишингируя множество людей с помощью модели, которая, если она попадет на интересующий его компьютер, не имеющий защиты… может достаточно эффективно зашифровать ваш жесткий диск», — говорит она. «Вы достигли своей цели».
В обороне
На данный момент исследователи оптимистично оценивают нашу способность защищаться от этих угроз — независимо от того, созданы ли они с помощью ИИ. «Особенно в отношении вредоносного ПО, многие методы защиты, возможности и лучшие практики, которые мы рекомендовали в течение последних 10 с лишним лет, по-прежнему актуальны», — говорит Леонард. Программы безопасности, которые мы используем для обнаружения стандартных вирусов и попыток атак, работают; многие фишинговые письма по-прежнему будут попадать в спам-фильтры почтовых ящиков, например. Эти традиционные формы защиты в значительной степени по-прежнему будут справляться со своей задачей — по крайней мере, пока.
И, что интересно, сам ИИ помогает более эффективно противодействовать угрозам безопасности. В конце концов, он отлично умеет выявлять закономерности и корреляции. Васу Джаккал, корпоративный вице-президент Microsoft Security, говорит, что каждый день компания обрабатывает более 100 триллионов сигналов, помеченных ее системами ИИ как потенциально вредоносные или подозрительные события.
Связанная статья
Несмотря на постоянные изменения в сфере кибербезопасности, Джесс воодушевлена тем, насколько охотно защитники обмениваются подробной информацией друг с другом о тактике злоумышленников. Отчет Mitre об угрозах для систем искусственного интеллекта и проект GenAI Security Project от Open Worldwide Application Security Project – это две полезные инициативы, документирующие, как потенциальные преступники интегрируют ИИ в свои атаки и как они атакуют системы ИИ. «У нас есть действительно хорошие ресурсы для понимания того, как защитить собственные внутренние инструменты ИИ и каковы угрозы, исходящие от инструментов ИИ в руках киберпреступников», – говорит она.
PromptLock, результат ограниченного университетского проекта, не отражает того, как атака могла бы развернуться в реальном мире. Но если он чему-то нас и научил, так это тому, что технические возможности ИИ не следует недооценивать. Удеши из Нью-Йоркского университета говорит, что был поражен тем, насколько легко ИИ смог обработать всю цепочку атаки от начала до конца, от составления карты и определения способа взлома целевой компьютерной системы до написания персонализированных записок с требованием выкупа жертвам: «Мы ожидали, что он очень хорошо справится с первоначальной задачей, но позже столкнется с трудностями, однако мы увидели высокий процент успеха — от 80% до 90% — на протяжении всего процесса».
Искусственный интеллект продолжает стремительно развиваться, и современные системы уже способны на то, что еще несколько лет назад казалось бы совершенно недостижимым. Это делает невероятно сложным с абсолютной уверенностью сказать, чего он сможет достичь в будущем, а чего — нет. Хотя исследователи уверены, что атаки с использованием ИИ, вероятно, будут расти как по объему, так и по серьезности, формы, которые они могут принять, остаются неясными. Возможно, наиболее экстремальная возможность заключается в том, что кто-то создаст модель ИИ, способную создавать и автоматизировать собственные уязвимости нулевого дня — крайне опасные кибератаки, использующие ранее неизвестные уязвимости в программном обеспечении. Но создание и размещение такой модели — и избегание обнаружения — потребует миллиардов долларов инвестиций, говорит Хатчинс, а это значит, что это будет доступно только богатому государству.
Энгин Кирда, профессор Северо-восточного университета в Бостоне, специализирующийся на обнаружении и анализе вредоносного ПО, говорит, что не удивился бы, если бы это уже происходило. «Я уверен, что люди инвестируют в это, но я также почти уверен, что люди уже этим занимаются, особенно в Китае — у них хорошие возможности в области искусственного интеллекта», — говорит он.
Это довольно пугающая перспектива. Но, к счастью, она пока лишь теоретическая. Масштабная кампания, которая была бы одновременно эффективной и явно управляемой ИИ, еще не материализовалась. Можно сказать, что генеративный ИИ уже значительно снижает планку для преступников. Они будут продолжать экспериментировать с новейшими версиями и обновлениями, пытаясь найти новые способы обманом заставить нас расстаться с важной информацией и драгоценными деньгами. Пока же все, что мы можем сделать, это быть осторожными, сохранять бдительность и — ради нашего же блага — следить за обновлениями системы.
Источник: www.technologyreview.com
