ИИ меняет ландшафт киберугроз: выводы отчета Trend Micro

Искусственный интеллект стал одним из ключевых факторов, меняющих кибербезопасность. Он повышает эффективность бизнеса, но одновременно усиливает возможности атакующих. Компания Trend Micro представила отчет «State of AI Security Report 1H 2025», в котором описала, как развитие ИИ влияет на угрозы и какие новые риски возникают. С полной версией документа можно ознакомиться по ссылке.

По данным Trend Micro, 93 % руководителей в области ИБ ожидают ежедневных атак с использованием ИИ, а 66% опрошенных организаций ожидают, что ИИ окажет наиболее значительное влияние на кибербезопасность в этом году. Рост внедрений ведет к расширению «поверхности атаки»: ИИ уже присутствует в бизнес-процессах, аналитике, автоматизации и облачных сервисах. Сложные экосистемы моделей, баз векторных данных и API становятся новыми целями для злоумышленников.

Атаки на инфраструктуру ИИ

На международном конкурсе по поиску уязвимостей Pwn2Own Berlin 2025, организованном Trend Micro в рамках программы Zero Day Initiative, впервые тестировались системы искусственного интеллекта. За три дня специалисты выявили 28 уязвимостей, семь из них – в ИИ-компонентах: базах векторных данных, серверах инференса и контейнерных инструментах. Это показало, что инфраструктура ИИ подвержена тем же атакам, что и классические ИТ-системы, – эксплуатации устаревших модулей, ошибкам конфигурации и несвоевременным обновлениям.

Trend Micro зафиксировала сотни открытых серверов, доступных без аутентификации, включая экземпляры Chroma DB и Redis. Контейнерные среды и инструменты работы с GPU становятся новой зоной риска: неправильная настройка может позволить атакующим получить полный контроль над системой.

Новые уязвимости и эволюция атак

Наряду с привычными проблемами ИТ-инфраструктуры появляются специфические риски, характерные именно для систем искусственного интеллекта. В 2025 году зарегистрирована критическая уязвимость в Microsoft 365 Copilot (CVE-2025-32711), позволявшая похищать данные через специально сформированные команды. Уровень риска оценен в 9,3 по CVSS – один из первых случаев официальной регистрации CVE для ИИ-сервиса.

Эксперименты Trend Micro показали, что приложения на базе LLM уязвимы к косвенным инструкциям, внедренным в данные, и к созданию небезопасных SQL-запросов. Возможны «хранимые инъекции» – вредоносные подсказки, сохраняемые в базах данных и срабатывающие при каждом обращении. Быстро распространяются prompt-атаки, использующие особенности рассуждений модели: Chain of Thought (эксплуатация пошаговой логики), Link Trap (внедрение вредоносных ссылок), невидимые инъекции (скрытые символы, воспринимаемые моделью), Prompt Leakage (раскрытие внутренних настроек). Эти техники превращают ИИ не только в цель, но и в инструмент атаки.

ИИ как инструмент киберпреступников

Искусственный интеллект уже стал частью стандартного набора средств злоумышленников. На подпольных форумах активно продаются «криминальные GPT» – версии языковых моделей без ограничений, а также сервисы обхода защитных механизмов («jailbreak-as-a-service»), предлагающие инструкции для взлома чат-ботов.

Автоматический перевод помогает группам расширять географию атак и действовать в странах, где раньше мешал языковой барьер. Это упрощает фишинговые кампании и затрудняет расследование. Одновременно deepfake становится одним из основных инструментов социальной инженерии: по данным Trend Micro, 36 % пользователей сталкивались с попытками обмана с помощью поддельного аудио или видео. Подделки применяются в мошенничестве, шантаже и для обхода идентификации (eKYC) на криптоплатформах. Рынок подделок растет. В открытом доступе появились дешевые сервисы генерации аудио и видео, а в даркнете сформировался сегмент «deepfake-as-a-service» с готовыми услугами под ключ. ИИ снижает порог вхождения в киберпреступность, облегчает масштабирование атак и делает угрозу более массовой и трудной для контроля.

Будущее: агентные системы и цифровые ассистенты

Следующий этап развития искусственного интеллекта связан с агентными системами, способными самостоятельно выполнять цепочки действий, обращаться к внешним сервисам и принимать решения без участия человека. Эти возможности открывают путь к полной автоматизации, но одновременно увеличивают количество потенциальных точек атаки.

Основные риски связаны с уязвимостями во внешних API, модулях и хранилищах, которые могут привести к компрометации всей системы. Опасность представляют и атаки через цепочку поставок – подмена или внедрение вредоносных компонентов в сторонние плагины и библиотеки. Сложная архитектура агентных решений делает невозможным ограничиться классической защитой «по периметру»: необходим многоуровневый контроль и постоянное тестирование. Для пользователей это проявится в виде цифровых ассистентов нового поколения, объединяющих работу нескольких агентов. Рост их функциональности повышает удобство, но создает и новые уязвимости: плагины и расширения могут содержать вредоносный код, а манипуляции ассистентами облегчают атаки социальной инженерии. Эксперты Trend Micro рекомендуют закладывать защиту на этапе проектирования, применять принципы zero trust — недоверие по умолчанию ко всем источникам данных — и регулярно проводить red teaming и пентесты, то есть комплексные проверки защиты с имитацией реальных атак.

Заключение и рекомендации

Развитие искусственного интеллекта создает новые бизнес-возможности, но и расширяет поверхность атак. ИИ становится частью критической цифровой инфраструктуры и требует такого же уровня защиты, как традиционные ИТ-системы.

По данным Trend Micro, уязвимости выявляются не только в базах данных, контейнерах и серверах, но и в специфических функциях ИИ – подсказках, агентах и интерфейсах взаимодействия. ИИ активно используется киберпреступниками для создания deepfake-контента, обхода идентификации и автоматизации атак. Следующий этап рисков связан с агентными системами, способными действовать автономно и взаимодействовать с внешними сервисами. Организациям необходимо включать ИИ-системы в общие процессы управления уязвимостями и обновлениями, применять принципы zero trust, фильтрацию данных и регулярное тестирование с учетом особенностей моделей. Особое внимание стоит уделить прозрачности работы цифровых ассистентов и контролю их расширений.