Злоумышленники все чаще используют для атак системы искусственного интеллекта, заменяя традиционные корпоративные инструменты, такие как PowerShell.
Вместо вредоносного ПО киберпреступники злоупотребляют законными инструментами искусственного интеллекта, используемыми предприятиями, и эту тенденцию некоторые эксперты описывают как «жизнь с искусственным интеллектом«.
«Мы видим это в случаях отравления серверов MCP в цепочках поставок, использования законных моделей, таких как Claude, для извлечения конфиденциальных данных и вредоносных агентов, таких как OpenClaw, вызывающих сбои.— говорит Каушик Шанади, технический директор Helmet Security.Проблема в том, что большинство систем были реализованы до того, как стали рассматриваться вопросы контроля и безопасности.«
Эксперты по безопасности отмечают, что переход от простых атак к «агенты по похищению людейменяет ландшафт угроз, связанных с искусственным интеллектом.
«Злоумышленники больше не просто пытаются обмануть чат-бота; они используют законные функции автоматизации и памяти, которые делают помощников на основе искусственного интеллекта полезными.— добавляет Паскаль Гинен, вице-президент Radware.
Олицетворение сервера MCP
В сентябре 2025 года злоумышленники использовали поддельный сервер MCP для интеграции Postmark (службы транзакционной электронной почты ActiveCampaign) с ИИ-помощниками.
Пакет казался законным и работал в течение 15 выпусков, пока единственное изменение кода не позволило незаметно удалить конфиденциальные сообщения на несколько дней. Пакет загружался из реестра Node.js 1500 раз в неделю, что представляло риск для предприятий.
«Это похоже на получение имен из реестра пакетов ИИ без централизованной проверки и криптографической связи.«— объясняет Брэд Микли, генеральный директор Jozu.
Серверы MCP, которые предоставляют агентам ИИ доступ к инструментам и данным, становятся объектами атак. «Если вы вставите вредоносный инструмент или соединитель, агент ИИ сможет выполнить его бесшумно.«— добавляет Захра Тимса, генеральный директор i-GENTIC AI.
Злоупотребление AI-платформами, такими как каналы C2
Киберпреступники превращают сервисы искусственного интеллекта в скрытые каналы управления и контроля (C2), маскируя вредоносный трафик под законные запросы.
Например, бэкдор SesameOp скрывает командный трафик в API OpenAI Assistants. Подобные атаки показывают, что Microsoft Copilot и Grok можно манипулировать через общедоступные веб-интерфейсы для получения контролируемых URL-адресов и ответов без ключа API.
Отравляющие зависимости в рабочих процессах ИИ
Некоторые атаки направлены на отравление зависимостей, используемых агентом обработки данных.
Например, скомпрометированный пакет NPM изменяет работу конвейера агентов, влияя на принятие решений и результаты без видимых аномалий.
Двойные агенты
Злоумышленники используют уязвимости в агентах ИИ, а не в устаревших ИТ-компонентах.
Пример. Уязвимость EchoLeak в Microsoft 365 Copilot (CVE-2025-32711) позволяла передавать по электронной почте внутренние файлы и сообщения на внешний сервер.
OpenClaw обнаружил ряд уязвимостей (CVE-2026-25253), которые позволяли вредоносным сайтам получить контроль над агентами ИИ. Всего было выявлено более 21 000 таких случаев, а 12 процентов рынка навыков OpenClaw содержали вредоносное ПО, отмечает д-р Сулейман Озарслан, вице-президент Picus Labs.
Атака на Microsoft Copilot Personal через Reprompt позволяла обходить встроенную защиту до тех пор, пока Microsoft не устранила проблему с помощью патча.
Шпионские кампании, основанные на искусственном интеллекте
В сентябре 2025 года Anthropic обнаружила, что группа GTG-1002 использовала Код Клода для автоматизации 80–90% тактических операций, включая сценарии, целевые исследования и создание инструментов атаки.
«Злоумышленники разделили операцию на тысячи безобидных задач и использовали ролевые игры, чтобы заставить модель думать, что работа была законной.— поясняет Ягуб Рахимов, исполнительный директор Полиграф АИ.
Модульные платформы искусственного интеллекта Black Hat
Злоумышленники создают специализированные наступательные платформы искусственного интеллекта, такие как Xanthorox AI, с модулями генерации вредоносного ПО и эксплойтами.
«Интеграция Hexstrike с MCP позволяет Xanthorox работать автономно, выходя за рамки простого «вспомогательного» эксплойта.добавляет Guinness от Radware.
Заключение
Многие злоумышленники больше не атакуют традиционное программное обеспечение, а вместо этого используют доверие к искусственному интеллекту.
«Службы безопасности должны относиться к ИИ-помощникам как к привилегированным пользователям: строго контролировать, отслеживать и никогда не предполагать, что они в безопасности.» — заключает Збинек Сопух, технический директор Safetica.
