В середине мая 2026 года Google опубликовал отчёт, который, по словам компании, впервые даёт прямое подтверждение того, что преступные хакерские группы начали использовать большие языковые модели (LLM) для самостоятельного поиска и эксплуатации нулевых дней.

Этот инцидент переводит обсуждение «AIавтоматической разведки уязвимостей» из разряда теории в реальность и ставит новые, острые вопросы перед всей индустрией кибербезопасности.

12 мая 2025 года (по информации в отчёте Google Threat Intelligence Group, GTIG) исследователи обнаружили подготовленный злоумышленниками Pythonскрипт, созданный с помощью большой модели ИИ.

Скрипт использовал ранее неизвестную уязвимость в «широко применяемом opensource инструменте для управления вебсистемами», позволяющую обходить двухфакторную аутентификацию (2FA). Для успешного доступа злоумышленникам всё ещё требовались валидные логин и пароль, но при их наличии — прямой путь в административную панель.

Google успел уведомить разработчиков уязвимого ПО, и патч был выпущен до возникновения реального ущерба. Но ключевой удар по спокойствию специалистов нанесён не тем фактом, что атаку удалось отразить, а тем, что сам механизм — автоматизированный поиск логических, «семантических» дефектов в коде — действительно использовал возможности больших моделей.

Исследователи GTIG поясняют, что в обнаруженном коде были характерные «отпечатки» ИИгенерации: избыточные обучающие docstringкомментарии, «учебный» формат кода, детальное меню справки и даже вымышленные метрики — например, «галлюцинированный CVSSрейтинг», которого не существует в реальной практике оценки уязвимостей.

Бывший руководитель кибербезопасности NSA Роб Джойс отметил, что ИИкод не заявляет о себе прямо, но такие косвенные признаки дают веские основания полагать об участии модели.

Google не назвала модель — лишь отметила, что это с высокой вероятностью не их собственный Gemini и не Anthropic Mythos.

Уязвимость описана как «дефект в семантике высокого уровня» — ошибка проектной логики, связанная с жёстко зашитым в 2FA предположением о доверии. Традиционные сканеры и автоматические инструменты плохо ловят такие ошибки, потому что они требуют понимания намерения и смысла кода — область, где LLM показывают свои сильные стороны.

Это именно тот сценарий, которого эксперты боялись: ИИ не просто ускоряет подбор паролей, он находит логические противоречия, которые люди и классические инструменты пропускали годами.

Отчёт Google выходит на фоне громкого появления модели Anthropic Mythos, о которой в индустрии говорят как о мощном инструменте для поиска нулевых дней — Anthropic утверждала, что Mythos нашёл тысячи уязвимостей в различных ОС и браузерах.

В ответ Anthropic ограничила доступ к Mythos и организовала инициативу Project Glasswing для совместной работы с крупными техногигантами (подробнее: Anthropic — Glasswing). Параллельно OpenAI анонсировала специализированную модель для киберзащиты — GPT5.5Cyber — доступную только доверенным защитным структурам.

Тем не менее Google подчёркивает: для реальных злоупотреблений не требуется самый мощный Mythos — уже доступные коммерческие модели способны помочь преступникам находить уязвимости и готовить эксплойты.

Отдельно в отчёте описано Androidвредоносное ПО PromptSpy, которое вызывает API Gemini для анализа текущего экрана устройства и самостоятельно принимает решения о дальнейших действиях.

Среди опасных возможностей — навигация по интерфейсу, перехват биометрических данных, воспроизведение PIN/узоров, блокировка удаления приложения (перекрытие кнопки «Удалить» прозрачной накладкой) и динамическая замена инфраструктуры управления (смена APIключей и ретрансляторов в режиме выполнения).

Google уже отключил связанные активы и не нашёл PromptSpy в Google Play, но сама концепция автономных ИИвредоносов вызывает серьёзное беспокойство.

Эксперты говорят, что «окон защиты», которое дают поэтапные релизы мощных моделей и международные соглашения, становится всё меньше — по словам представителей Anthropic, это окно измеряется месяцами, а не годами.

США предпринимают попытки ввести предварительную оценку моделей перед публичным выпуском (см. публикации о правительственных инициативах и переговорах с крупнейшими компаниями), но согласованность действий пока далека от идеала (NYT о расследовании).

Что делать организациям прямо сейчас

Проверить критичные компоненты, особенно инструменты управления, которые полагаются на 2FA — искать не только уязвимости на уровне аутентификации, но и логические допущения, «жёстко» зашитые в коде.

Усилить мониторинг признаков ИИгенерации атакных артефактов (нетипичные docstring, «учебные» комментарии, несуществующие метрики, стандартизированный стиль кода).

Ускорить процесс выпуска и применения патчей, пересмотреть SLA на реакции по уязвимостям; корректировка KPI для команд безопасности (время реакции, покрытие патчами).

Ограничивать и контролировать использование API ключей ИИ в приложениях, логировать доступ моделей и аномалии в поведении клиентов.

Уделять внимание защите учётных данных: многофакторность не замещает необходимость в контроле над утечками паролей и учётных данных.

Отчёт Google — тревожный сигнал: исследуемый сценарий «ИИпомощи» злоумышленников перестал быть гипотетическим. Пока ИИ усиляет обе стороны «гонки вооружений», скорость использования моделей злоумышленниками растёт быстрее, чем способность защитников полностью закрыть накопившиеся уязвимости.

На ближайшие годы приходится смоделировать период «перехода», когда риски ещё высоки, а выгоды от ИИ ещё не перевесили угрозы. Для организаций это означает — действовать сейчас, а не откладывать реформы и усиление практик безопасности.