ИИ превращает кибератаки в детскую игру: что ждет нас завтра?
Дата публикации
Когда исследование становится пророчеством
Антон Черепанов, специалист по кибербезопасности, постоянно ищет что-то необычное. В конце августа прошлого года он наткнулся на файл в VirusTotal - платформе, где эксперты анализируют подозрительное программное обеспечение. Внешне образец выглядел безобидно, но сработали его собственные детекторы вредоносного ПО. Вместе с коллегой Петером Стрычеком они несколько часов изучали находку и поняли - ничего подобного раньше не встречали.
Внутри скрывалась программа-вымогатель, которая шифрует файлы жертвы и требует выкуп за их расшифровку. Но главная особенность заключалась в другом: вредонос использовал большие языковые модели на каждом этапе атаки. После установки он обращался к ИИ для генерации уникального кода в реальном времени, быстро картировал компьютер для поиска ценных данных и составлял персонализированные записки о выкупе на основе содержимого файлов. Все это происходило автономно, без участия человека. Каждый запуск приводил к новому поведению, усложняя обнаружение.
Черепанов и Стрычек назвали свою находку PromptLock и объявили о первом в мире случае ИИ-управляемого вымогателя. Новость мгновенно разлетелась по мировым СМИ.
Но на следующий день команда из Нью-Йоркского университета взяла ответственность на себя. Оказалось, это не настоящая атака, а исследовательский проект, призванный доказать возможность автоматизации всех этапов кампании вымогательства. И они это доказали.
От теории к практике: как преступники осваивают нейросети
Хотя PromptLock оказался академическим экспериментом, настоящие злоумышленники уже вовсю эксплуатируют новейшие ИИ-инструменты. Подобно тому, как программисты используют искусственный интеллект для написания кода и поиска ошибок, хакеры применяют эти технологии для сокращения времени и усилий на организацию атак. Барьер входа для начинающих киберпреступников стремительно падает.
Лоренцо Кавалларо, профессор информатики из Университетского колледжа Лондона, утверждает: вероятность того, что кибератаки станут чаще и эффективнее - не отдаленная возможность, а "абсолютная реальность".
Некоторые в Кремниевой долине предупреждают о скором появлении полностью автоматизированных атак. Однако большинство исследователей считают это преувеличением. "Почему-то все зациклились на идее ИИ-супер-хакеров, что просто абсурдно", - говорит Маркус Хатчинс, главный аналитик угроз компании Expel, прославившийся остановкой глобальной атаки вымогателя WannaCry в 2017 году.
Вместо этого эксперты призывают обратить внимание на более насущные риски. ИИ уже сейчас ускоряет и увеличивает объем мошеннических схем. Преступники все активнее используют дипфейк-технологии для имитации людей и выманивания огромных сумм денег. Эти усиленные искусственным интеллектом кибератаки будут становиться только частотнее и разрушительнее.
Для получения практических рекомендаций по защите от современных киберугроз посетите сайт компании AI Projects, где собраны актуальные решения в области информационной безопасности.
Спам-революция и дипфейковый обман
Злоумышленники начали применять генеративные ИИ-инструменты практически сразу после взрывной популярности ChatGPT в конце 2022 года. Первым делом они занялись созданием спама - и его стало очень много. В прошлом году Microsoft сообщила, что за год до апреля 2025-го компания заблокировала мошеннических операций и транзакций на 4 миллиарда долларов, "многие из которых, вероятно, были созданы с помощью ИИ-контента".
По оценкам исследователей из Колумбийского университета, Чикагского университета и Barracuda Networks, как минимум половина всего спама теперь генерируется языковыми моделями. Они проанализировали почти 500 тысяч вредоносных сообщений, собранных до и после запуска ChatGPT. Также они нашли доказательства того, что ИИ все чаще используется в более изощренных схемах.
Исследователи изучили целевые email-атаки, в которых злоумышленники выдают себя за доверенное лицо, чтобы обманом выманить у сотрудника организации деньги или конфиденциальную информацию. К апрелю 2025 года как минимум 14% таких фокусированных email-атак генерировались с помощью языковых моделей - по сравнению с 7,6% в апреле 2024-го.
Бум генеративного ИИ сделал создание не только писем, но и высокоубедительных изображений, видео и аудио проще и дешевле, чем когда-либо. Результаты выглядят гораздо реалистичнее, чем несколько лет назад, а для создания поддельной версии чьей-то внешности или голоса теперь требуется намного меньше данных.
Преступники используют такие дипфейки не для розыгрышей - они делают это потому, что это работает и приносит деньги, отмечает Генри Айдер, эксперт по генеративному ИИ. "Пока есть возможность заработать и люди продолжают попадаться на удочку, они будут продолжать это делать", - говорит он. В одном громком случае, о котором сообщили в 2024 году, сотрудник британской инжиниринговой фирмы Arup перевел мошенникам 25 миллионов долларов после видеозвонка с цифровыми версиями финансового директора компании и других работников. И это, скорее всего, лишь верхушка айсберга. Проблема убедительных дипфейков будет только усугубляться по мере совершенствования технологии и ее более широкого распространения.
Эволюция преступных тактик
Тактики злоумышленников постоянно эволюционируют, и по мере улучшения возможностей ИИ они непрерывно исследуют, как новые функции могут дать им преимущество над жертвами. Билли Леонард, технический руководитель Google Threat Analysis Group, внимательно следит за изменениями в использовании ИИ потенциальными злоумышленниками. Во второй половине 2024 года он и его команда заметили, что будущие преступники используют инструменты вроде Google Gemini так же, как обычные пользователи - для отладки кода и автоматизации фрагментов работы, а также для написания фишинговых писем. К 2025 году они перешли к использованию ИИ для создания новых образцов вредоносного ПО и их распространения.
Главный вопрос сейчас - как далеко может зайти такое вредоносное ПО. Сможет ли оно когда-нибудь незаметно проникнуть в системы тысяч компаний и вывести миллионы долларов, оставаясь полностью необнаруженным?
Большинство популярных ИИ-моделей имеют защитные барьеры, предотвращающие генерацию вредоносного кода или незаконного материала, но злоумышленники находят способы их обойти. Например, Google наблюдал, как связанный с Китаем актор просил модель Gemini AI идентифицировать уязвимости на скомпрометированной системе - запрос, который изначально был отклонен по соображениям безопасности. Однако атакующий сумел убедить Gemini нарушить собственные правила, представившись участником соревнования capture-the-flag - популярной игры по кибербезопасности. Эта хитрая форма взлома привела к тому, что Gemini выдал информацию, которая могла быть использована для эксплуатации системы. (С тех пор Google скорректировал Gemini, чтобы отклонять подобные запросы.)
Но злоумышленники фокусируются не только на попытках заставить модели ИИ-гигантов служить своим гнусным целям. В будущем они все чаще будут использовать открытые ИИ-модели, поскольку проще удалить их защитные механизмы и заставить делать вредоносные вещи, говорит Эшли Джесс, бывший тактический специалист Министерства юстиции США, а ныне старший аналитик разведки в компании Intel 471. "Именно их, я думаю, злоумышленники будут использовать, потому что могут взломать их и адаптировать под свои нужды", - отмечает она.
Команда NYU использовала две открытые модели от OpenAI в эксперименте с PromptLock, и исследователи обнаружили, что им даже не пришлось прибегать к техникам взлома, чтобы заставить модель делать то, что они хотели. Это значительно упрощает атаки. Хотя такие открытые модели разработаны с учетом этического выравнивания - их создатели учитывают определенные цели и ценности при формировании ответов на запросы - у них нет таких же ограничений, как у закрытых аналогов, говорит Мит Удеши, аспирант Нью-Йоркского университета, работавший над проектом. "Это то, что мы пытались проверить", - объясняет он. "Эти языковые модели заявляют, что этически выровнены - можем ли мы все равно использовать их в таких целях? И ответ оказался положительным".
Возможно, преступники уже успешно провели скрытые атаки в стиле PromptLock, и мы просто никогда не видели доказательств этого, говорит Удеши. В таком случае атакующие теоретически могли создать полностью автономную хакерскую систему. Но для этого им пришлось бы преодолеть значительный барьер - заставить ИИ-модели вести себя надежно, а также любое встроенное нежелание моделей использоваться в злонамеренных целях - и все это избегая обнаружения. А это действительно высокая планка.
Инструменты повышения продуктивности для хакеров
Что мы знаем наверняка? Одни из лучших данных о том, как люди пытаются использовать ИИ в злонамеренных целях, поступают от самих крупных ИИ-компаний. И их выводы звучат тревожно, по крайней мере на первый взгляд. В ноябре команда Леонарда в Google выпустила отчет, который обнаружил, что злоумышленники используют ИИ-инструменты (включая Google Gemini) для динамического изменения поведения вредоносного ПО - например, оно могло самомодифицироваться, чтобы избежать обнаружения. Команда написала, что это знаменует "новую операционную фазу злоупотребления ИИ".
Однако пять семейств вредоносного ПО, которые рассматривались в отчете (включая PromptLock), состояли из кода, который легко обнаруживался и фактически не причинил вреда, отметил в социальных сетях специалист по кибербезопасности Кевин Бомонт. "В отчете нет ничего, что предполагало бы необходимость организациям отклоняться от фундаментальных программ безопасности - все работало как надо", - написал он.
Действительно, эта активность вредоносного ПО находится на ранней стадии, признает Леонард. Тем не менее он видит ценность в публикации таких отчетов, если это помогает поставщикам безопасности и другим создавать лучшую защиту для предотвращения более опасных ИИ-атак в будущем. "Банально говорить, но солнечный свет - лучший дезинфектор", - говорит он. "Нам не принесет пользы держать это в секрете или скрывать. Мы хотим, чтобы люди знали об этом - мы хотим, чтобы другие поставщики безопасности знали об этом - чтобы они могли продолжать создавать собственные системы обнаружения".
И дело не только в новых штаммах вредоносного ПО, с которыми экспериментируют потенциальные атакующие - они также, похоже, используют ИИ для попыток автоматизации процесса взлома целей. В ноябре Anthropic объявила о пресечении крупномасштабной кибератаки, первого зарегистрированного случая, выполненного без "существенного участия человека". Хотя компания не вдавалась в подробности о точных тактиках хакеров, авторы отчета заявили, что спонсируемая китайским государством группа использовала ее ассистента Claude Code для автоматизации до 90% того, что они назвали "высокосложной шпионской кампанией".
Но, как и в случае с выводами Google, были оговорки. Человек-оператор, а не ИИ, выбирал цели перед тем, как поручить Claude идентифицировать уязвимости. И из 30 попыток успешными оказались лишь "несколько". Отчет Anthropic также выявил, что Claude галлюцинировал и в итоге фабриковал данные во время кампании, утверждая, что получил учетные данные, которых не получал, и "часто" преувеличивал свои находки, так что атакующим пришлось бы тщательно проверять эти результаты, чтобы убедиться в их достоверности. "Это остается препятствием для полностью автономных кибератак", - написали авторы отчета.
Существующие средства контроля в любой разумно защищенной организации остановят эти атаки, говорит Гэри МакГроу, ветеран безопасности и сооснователь Berryville Institute of Machine Learning в Вирджинии. "Ничего из вредоносной части атаки, вроде эксплуатации уязвимости... фактически не было сделано ИИ - это были просто готовые инструменты, которые это делают, и такие вещи автоматизированы уже 20 лет", - говорит он. "В этой атаке нет ничего нового, креативного или интересного".
Anthropic настаивает, что выводы отчета - тревожный сигнал грядущих изменений. "Связывание стольких шагов кампании вторжения через агентскую оркестровку ИИ беспрецедентно", - заявил Джейкоб Кляйн, глава отдела анализа угроз в Anthropic. "Это превращает то, что всегда было трудоемким процессом, во что-то гораздо более масштабируемое. Мы вступаем в эру, когда барьер для сложных киберопераций фундаментально снизился, а темп атак будет ускоряться быстрее, чем многие организации готовы к этому".
Некоторые не убеждены, что есть причины для тревоги. Ажиотаж вокруг ИИ заставил многих в индустрии кибербезопасности переоценить текущие возможности моделей, говорит Хатчинс. "Они хотят эту идею неостановимых ИИ, которые могут перехитрить безопасность, поэтому прогнозируют, что мы туда движемся", - говорит он. Но "просто нет никаких доказательств, подтверждающих это, потому что возможности ИИ просто не соответствуют ни одному из требований".
Действительно, пока преступники в основном используют ИИ для повышения своей продуктивности: применяют языковые модели для написания вредоносного кода и фишинговых приманок, для проведения разведки и языкового перевода. Джесс видит много такой активности, наряду с попытками продавать инструменты на подпольных криминальных рынках. Например, существуют фишинговые наборы, которые сравнивают успешность кликов различных спам-кампаний, чтобы преступники могли отслеживать, какие кампании наиболее эффективны в любой момент времени. Она наблюдает много такой активности в том, что можно назвать "ландшафтом ИИ-мусора", но не так много "широкого принятия со стороны высокотехнологичных акторов", говорит она.
Но атакам не нужно быть изощренными, чтобы быть эффективными. Модели, производящие "достаточно хорошие" результаты, позволяют атакующим охватить большее количество людей, чем было возможно ранее, говорит Лиз Джеймс, управляющий консультант по безопасности в компании NCC Group. "Мы говорим о ком-то, кто может использовать метод дробовика, отправляя фишинг целой куче людей с моделью, которая, если попадет на машину интереса без какой-либо защиты... может вполне компетентно зашифровать ваш жесткий диск", - говорит она. "Вы достигли своей цели".
Узнайте больше о современных методах защиты от киберугроз на сайте AI Projects, где представлены решения для бизнеса любого масштаба.
Защита в эпоху ИИ-атак
Пока исследователи оптимистично настроены относительно нашей способности защищаться от этих угроз - независимо от того, созданы они с помощью ИИ или нет. "Особенно в отношении вредоносного ПО, многие средства защиты, возможности и лучшие практики, которые мы рекомендовали последние 10 с лишним лет - они все еще применимы", - говорит Леонард. Программы безопасности, которые мы используем для обнаружения стандартных вирусов и попыток атак, работают; многие фишинговые письма все еще попадают в спам-фильтры почтовых ящиков, например. Эти традиционные формы защиты по-прежнему в значительной степени справляются со своей задачей - по крайней мере пока.
И в интересном повороте событий сам ИИ помогает более эффективно противостоять угрозам безопасности. В конце концов, он отлично справляется с обнаружением паттернов и корреляций. Васу Джаккал, корпоративный вице-президент Microsoft Security, говорит, что каждый день компания обрабатывает более 100 триллионов сигналов, отмеченных ее ИИ-системами как потенциально вредоносные или подозрительные события.
Несмотря на постоянное состояние изменчивости ландшафта кибербезопасности, Джесс воодушевлена тем, как охотно защитники делятся друг с другом подробной информацией о тактиках атакующих. Mitre's Adversarial Threat Landscape for Artificial-Intelligence Systems и GenAI Security Project от Open Worldwide Application Security Project - две полезные инициативы, документирующие, как потенциальные преступники включают ИИ в свои атаки и как ИИ-системы становятся их мишенями. "У нас есть действительно хорошие ресурсы для понимания того, как защитить свои собственные внутренние ИИ-инструменты и понять угрозу от ИИ-инструментов в руках киберпреступников", - говорит она.
Что нас ждет: реальность и прогнозы
PromptLock, результат ограниченного университетского проекта, не отражает того, как атака развернется в реальном мире. Но если он чему-то нас и научил, так это тому, что технические возможности ИИ не следует недооценивать. Удеши из Нью-Йоркского университета говорит, что был поражен тем, как легко ИИ справился с полной сквозной цепочкой атаки, от картирования и выяснения способа взлома целевой компьютерной системы до написания персонализированных записок о выкупе жертвам: "Мы ожидали, что он очень хорошо выполнит начальную задачу, но споткнется позже, однако мы наблюдали высокий - 80-90% - успех на протяжении всего конвейера".
ИИ все еще стремительно развивается, и сегодняшние системы уже способны на вещи, которые казались нелепо недостижимыми всего несколько лет назад. Это делает невероятно сложным утверждать с абсолютной уверенностью, что он сможет - или не сможет - достичь в будущем. Хотя исследователи уверены, что ИИ-управляемые атаки, вероятно, увеличатся как в объеме, так и в серьезности, формы, которые они могут принять, неясны. Возможно, самый экстремальный вариант - кто-то создаст ИИ-модель, способную создавать и автоматизировать собственные zero-day эксплойты - высокоопасные кибератаки, использующие преимущество ранее неизвестных уязвимостей в программном обеспечении. Но создание и хостинг такой модели - и уклонение от обнаружения - потребовали бы миллиардов долларов инвестиций, говорит Хатчинс, что означает, что это было бы доступно только богатому национальному государству.
Энгин Кирда, профессор Северо-восточного университета в Бостоне, специализирующийся на обнаружении и анализе вредоносного ПО, говорит, что не удивился бы, если бы это уже происходило. "Я уверен, люди инвестируют в это, но я также вполне уверен, что люди уже это делают, особенно в Китае - у них хорошие возможности ИИ", - говорит он.
Это довольно пугающая возможность. Но та, которая - к счастью - все еще остается лишь теоретической. Масштабная кампания, которая одновременно эффективна и явно управляется ИИ, еще не материализовалась. Что мы можем сказать, так это то, что генеративный ИИ уже значительно снижает планку для преступников. Они будут продолжать экспериментировать с новейшими релизами и обновлениями и пытаться найти новые способы обманом заставить нас расстаться с важной информацией и драгоценными деньгами. Пока все, что мы можем делать - быть осторожными, сохранять бдительность и - ради всех нас - не забывать об обновлениях системы.