OKINT Digital
AI as Attack Vector — The New Cybersecurity Frontier
Назад к аналитике
ИИ / МО·10 мин чтения

Когда ИИ становится угрозой: новая глава в кибербезопасности

Автор Osman Kuzucu·Опубликовано 2026-02-21

Переломная неделя в безопасности ИИ

Много лет индустрия кибербезопасности спорила, кому больше поможет искусственный интеллект — защитникам или атакующим. Третья неделя февраля 2026 года дала категоричный ответ: и тем, и другим одновременно. За семь дней произошли три инцидента, которые показали, что ИИ перестал быть просто инструментом для улучшения защиты — он одновременно стал поверхностью атаки, оружием и невольным соучастником. Первое вредоносное ПО для Android, использующее генеративный ИИ в реальном времени; баг в Microsoft Copilot, который неделями читал конфиденциальные письма; критическая уязвимость в SDK, с помощью которого разработчики создают ИИ-приложения — вывод однозначен. Эпоха угроз на базе ИИ наступила, и организации, воспринимающие внедрение ИИ исключительно как возможность, рискуют остаться беззащитными.

PromptSpy: вредоносное ПО, которое думает самостоятельно

Девятнадцатого февраля исследователи ESET опубликовали результаты анализа PromptSpy — первого известного вредоносного ПО для Android, использующего генеративный ИИ в реальном времени. В отличие от классических мобильных угроз с жёстко прописанной логикой, PromptSpy интегрируется с Gemini API от Google для динамической навигации по интерфейсу устройства. Когда вредоносу нужно закрепиться на устройстве, он делает скриншот текущего экрана, отправляет его в Gemini и получает пошаговые инструкции для закрепления в списке недавних приложений. Затем выполняет эти шаги через Accessibility Service, проверяет результат и повторяет цикл до успешного завершения. Это означает, что вредонос автоматически адаптируется к любой версии Android, любому производителю и любой оболочке — способность, которая раньше требовала месяцев ручного реверс-инжиниринга для каждого устройства.

Основная нагрузка PromptSpy — встроенный VNC-модуль, дающий удалённым операторам полный доступ к заражённому устройству. Он способен перехватывать данные экрана блокировки, блокировать попытки удаления, делать скриншоты, записывать видео экранной активности и выгружать данные устройства. ESET отмечает, что PromptSpy пока не обнаружен в массовой телеметрии, что может указывать на стадию proof of concept, однако обнаружение домена для распространения, нацеленного на пользователей в Аргентине, говорит о том, что угроза выходит за рамки лаборатории. Это не первый случай, когда ESET сталкивается с вредоносным ПО на базе ИИ: в августе 2025 года был обнаружен PromptLock — шифровальщик, использующий ИИ. Тенденция ускоряется.

Microsoft Copilot: когда ваш ИИ-помощник читает то, что не должен

Восемнадцатого февраля Microsoft подтвердила, что баг в Microsoft 365 Copilot незаметно читал и суммировал письма с меткой «конфиденциально», обходя политики Data Loss Prevention (DLP), настроенные именно для блокирования такого доступа. Баг, зафиксированный под идентификатором CW1226324, был обнаружен 21 января и затрагивал функцию чата Copilot на вкладке «Работа». Ошибка приводила к тому, что Copilot некорректно обрабатывал сообщения из папок «Отправленные» и «Черновики», включая письма с метками конфиденциальности, специально предназначенными для ограничения доступа автоматизированных инструментов. На протяжении нескольких недель ИИ-инструмент, которому доверили корпоративную продуктивность, делал именно то, что DLP-политики должны были предотвращать.

Microsoft не раскрыла, сколько организаций пострадало, и лишь сообщила, что начала выпускать исправление «ранее в феврале», продолжая мониторинг затронутых пользователей. Инцидент затрагивает суть фундаментальной проблемы: когда вы интегрируете LLM в корпоративный рабочий процесс и предоставляете ему широкий доступ к данным, вы фактически создаёте инсайдера с практически неограниченными правами на чтение. Традиционные DLP-политики проектировались для людей и детерминированного ПО — не для вероятностных ИИ-систем, интерпретирующих инструкции по-разному при каждом вызове. Этот инцидент должен стать сигналом тревоги для любой организации, развёртывающей ИИ-помощников с доступом к конфиденциальным корпоративным данным.

RCE в Semantic Kernel: брешь в стеке разработки ИИ

Замыкает тройку критическая уязвимость удалённого выполнения кода (CVE-2026-26030) в Semantic Kernel Python SDK от Microsoft — фреймворке, который многие разработчики используют для интеграции LLM в свои приложения. С оценкой CVSS 9,9 из 10 уязвимость позволяет атакующим выполнять произвольный код на серверах с ИИ-приложениями на базе Semantic Kernel. Особую озабоченность вызывает то, что Semantic Kernel является фундаментом многих корпоративных ИИ-решений. Это связующий код между бизнес-логикой и языковыми моделями, а значит, компрометация на этом уровне может каскадом распространиться по всему ИИ-стеку. Когда инструменты, с помощью которых разработчики строят ИИ, сами оказываются уязвимыми, под вопросом оказывается безопасность каждого построенного на них приложения.

Общий знаменатель: ИИ расширяет поверхность атаки

По отдельности каждый из этих инцидентов рассказывает конкретную техническую историю. Вместе они обнажают системную закономерность: каждый уровень ИИ-стека теперь является потенциальным вектором атаки. На уровне приложений ИИ-помощники получают доступ к данным, выходящий за их границы безопасности. На уровне инфраструктуры SDK и фреймворки, на которых строятся ИИ-приложения, несут собственные уязвимости. А на уровне злоумышленников те же генеративные ИИ-возможности, которые предприятия спешат внедрить, оборачиваются оружием. Это не совпадение — это неизбежный результат развёртывания мощных вероятностных систем в средах, спроектированных для детерминированного, предсказуемого ПО.

Ключевые риски, с которыми предприятия теперь сталкиваются:

  • Вредоносное ПО на базе ИИ, адаптирующееся в реальном времени, сводит на нет преимущество фрагментации устройств как естественного защитного барьера — атакующим больше не нужно создавать эксплойты под каждую модель отдельно.
  • Корпоративные ИИ-инструменты с широким доступом к данным де-факто становятся инсайдерами — способными читать, суммировать и потенциально выгружать конфиденциальную информацию в масштабах, недоступных ни одному сотруднику.
  • Риски цепочки поставок теперь распространяются на ИИ-фреймворки и SDK — одна уязвимость в популярном инструментарии для разработки ИИ может скомпрометировать тысячи зависимых приложений одновременно.
  • Традиционные средства защиты — межсетевые экраны, DLP-политики, списки контроля доступа — создавались для предсказуемого, следующего правилам ПО и принципиально непригодны для управления вероятностными ИИ-системами.

Выстраивание защиты для эпохи ИИ

Эти инциденты не означают, что организациям следует отказаться от внедрения ИИ — цена отставания от конкурентов слишком высока. Но они требуют принципиального пересмотра подхода к безопасности ИИ. Времена, когда ИИ-инструменты воспринимались как обычное корпоративное ПО, прошли. ИИ-системы требуют целенаправленно разработанных фреймворков безопасности, учитывающих их уникальные характеристики: вероятностное поведение, потребность в широком доступе к данным и способность одновременно быть инструментом и целью.

Практические шаги, которые организациям следует предпринять сейчас:

  • Внедрите специальные средства контроля доступа для ИИ. Предоставляйте ИИ-инструментам минимальный доступ к данным, необходимый для их работы. Рассматривайте каждого ИИ-помощника как ненадёжного инсайдера и применяйте принципы нулевого доверия к их доступу — включая мониторинг выходных данных и поведенческий анализ.
  • Проведите аудит вашей ИИ-цепочки поставок. Каталогизируйте каждый ИИ-фреймворк, SDK и провайдера моделей в вашем стеке. Подпишитесь на уведомления о безопасности для каждого из них. Наладьте процесс экстренного патчинга специально для компонентов ИИ-инфраструктуры с SLA не менее строгими, чем для патчей операционных систем.
  • Разверните ИИ-ориентированный мониторинг. Традиционные SIEM и EDR необходимо дополнить возможностями обнаружения, специфичными для ИИ. Отслеживайте аномальные API-вызовы к ИИ-сервисам, нетипичные паттерны доступа к данным со стороны ИИ-инструментов и неожиданное поведение моделей, которое может указывать на компрометацию или злоупотребление.
  • Разработайте сценарии реагирования на ИИ-инциденты. Ваши существующие процедуры реагирования, скорее всего, не покрывают сценарии вроде «наш ИИ-помощник слил конфиденциальные данные» или «атакующий использует генеративный ИИ для навигации по нашим мобильным устройствам». Создайте специальные плейбуки для ИИ-инцидентов, включая стратегии сдерживания, учитывающие адаптивный характер ИИ-угроз в реальном времени.

Что дальше

Февраль 2026 года, вероятно, запомнится как неделя, когда индустрия кибербезопасности больше не могла игнорировать двойственную природу ИИ. Технология, обещающая революционизировать продуктивность бизнеса, одновременно создаёт векторы атак, для которых наша существующая инфраструктура безопасности никогда не проектировалась. Организации, признающие эту двойственность и инвестирующие сегодня в ИИ-ориентированную защиту, окажутся в значительно лучшем положении, чем те, кто будет реагировать на очередной неизбежный инцидент. Вопрос больше не в том, будет ли ИИ использован как оружие — он уже используется. Вопрос в том, эволюционирует ли ваша защита так же быстро, как угрозы.

ai securitycybersecuritymalwarepromptspymicrosoft copilotenterprise securityai threatsgenerative aisemantic kernelzero trust

Хотите обсудить эти темы подробно?

Наша команда доступна для архитектурных ревью и стратегических сессий.

Запланировать консультацию