Инвестиции в защиту ИИ растут, а уверенность в безопасности падает

По данным опроса 1 253 специалистов по кибербезопасности, проведенного в начале 2026 года, искусственный интеллект перестал быть вспомогательным инструментом и превратился в критическую инфраструктуру предприятий. Автономные агенты уже модифицируют записи, создают учетные записи и внедряют код через API быстрее, чем человек успевает провести проверку. Эта трансформация создает фундаментальный разрыв: технологии развиваются с опережением, а механизмы контроля отстают. Для российского бизнеса, интегрирующего ИИ в процессы, ключевым фактором становится не объем инвестиций, а способность видеть и управлять действиями нечеловеческих агентов в реальном времени.

Разрыв между внедрением и контролем

Статистика демонстрирует структурный дисбаланс в подходах к безопасности. ИИ-инструменты внедрены в 73% организаций, однако только 7% компаний внедрили механизмы управления, обеспечивающие соблюдение политик безопасности в режиме реального времени. Этот разрыв в 66 пунктов расширяется по мере ускорения внедрения технологий. Парадокс ситуации заключается в том, что 90% компаний увеличили бюджеты на безопасность ИИ в текущем году, при этом 29% респондентов чувствуют себя менее защищенными, чем год назад. Инвестиции растут, но уверенность падает, так как существующие средства защиты спроектированы для мира, где единственным актором был человек.

Основная причина снижения уверенности кроется в неспособности текущих систем адекватно реагировать на новые угрозы. 34% участников исследования указывают на давление со стороны бизнеса, требующего внедрения ИИ быстрее, чем позволяют возможности службы безопасности. Дефицит квалифицированных кадров составляет 25%, а неспособность устаревших инструментов интерпретировать специфические угрозы ИИ — 21%. Бюджетные ограничения занимают лишь четвертое место (14%). Проблема не в нехватке средств, а в том, что архитектура безопасности все еще отражает до-ИИ модель угроз. 51% оценивают свои технические средства контроля как слабые, 50% жалуются на недостаточную видимость процессов, а 61% признают слабость управления нечеловеческими идентификаторами.

Слепые зоны в деятельности ИИ

Безопасность невозможна там, где отсутствует видимость. Только 6% организаций могут полностью отслеживать использование ИИ во всей своей среде. 45% имеют частичную видимость, ограниченную управляемыми приложениями, и не видят активности за пределами санкционированных инструментов. 35% фиксируют лишь сетевой трафик, не понимая сути происходящего, а 14% компаний вообще лишены какой-либо видимости. 94% респондентов принимают решения по безопасности ИИ, опираясь на неполную картину.

Критическим техническим слепым пятном стало неумение различать личные и корпоративные учетные записи ИИ на одной и той же платформе. 88% организаций не могут надежно отличить работу сотрудника в личном аккаунте от использования корпоративного экземпляра. Это делает бессмысленными политики предотвращения утечек данных (DLP), контроль доступа и аудиторские следы. Феномен «теневой» ИИ усугубляет ситуацию: 31% компаний выявляет несанкционированные инструменты только при просмотре логов постфактум, 21% не может обнаружить их вовсе, и лишь 27% используют системы для обнаружения в реальном времени.

Самые сложные для мониторинга взаимодействия — интеграции через API, соединения агентов на базе протокола MCP и машинного общение — растут быстрее всего. Прямой чат пользователя с ИИ вызывает наименьшие трудности для контроля (6% сложности). Для устранения разрыва необходимо расширить мониторинг до уровня активности на всех каналах, начиная с разграничения личных и корпоративных аккаунтов, что является фундаментом для всех последующих мер защиты.

Устаревание методов защиты данных и автономия агентов

Традиционные системы предотвращения утечек данных (DLP) теряют эффективность в эпоху генеративного ИИ. DLP работает на синтаксическом уровне, сопоставляя последовательности символов с заранее заданными шаблонами (например, номера кредитных карт). ИИ же оперирует на семантическом уровне, преобразуя смысл, сохраняя при этом суть информации. Если сотрудник просит ИИ перефразировать секретное описание проекта, система может заменить название проекта на «нашу предстоящую стратегическую инициативу». Для фильтра на основе регулярных выражений это безопасный текст, хотя смысловая ценность (секрет) остается неизменной.

46% респондентов признают, что их средства контроля не выявят подобные нарушения, так как перефразирование обходит ключевые слова. Еще 27% отмечают, что обнаружение работает только если исходные ключевые слова сохраняются после трансформации. В совокупности 92% организаций не имеют подтвержденной защиты от утечек через перефразирование. Единственный способ проверить уязвимость — провести тест: взять классифицированный документ, попросить ИИ переписать его и проверить, зафиксирует ли система нарушение.

Более глубокая угроза исходит от автономных агентов, действующих без надзора. 56% компаний сталкиваются с рисками агентов: 24% используют их в ограниченном производстве, 9% — в масштабе для ключевой бизнес-логики, а 23% — через теневые развертывания, о которых ИТ-отдел не знает. 32% организаций не имеют видимости действий агентов, а 36% слепы к трафику между машинами.

Доступ на запись у ИИ-инструментов шире, чем ожидают службы безопасности. 53% компаний предоставляют доступ к облачным продуктам для совместной работы, 40% — к электронной почте, 25% — к репозиториям кода, а 8% — к провайдерам идентификации. Агент с правами записи на уровне идентификации может создавать сервисные учетные записи, повышать привилегии и предоставлять себе внешний доступ через API, не пересекая сетевой периметр. Только 29% организаций ограничивают ИИ-инструменты доступом только для чтения. Для остальных 71% путь к исправлению очевиден: провести аудит инструментов с правами записи и установить контрольные точки одобрения для действий по созданию учетных записей или изменению прав.

Переход к семантической защите и единым решениям

Текущая модель безопасности, основанная на доверии, не работает. 31% компаний полагаются на письменные политики и соблюдение правил сотрудниками, еще 20% используют сканирование API после события. Лишь 23% обеспечивают принудительное исполнение политик в режиме реального времени. 11% организаций вообще не имеют политик безопасности ИИ. Даже среди тех, кто внедрил контроль в реальном времени, 42% используют бинарную модель «разрешить или заблокировать» для целых платформ, не имея возможности разрешить корпоративные аккаунты и заблокировать личные.

Для устранения фрагментации необходимо объединить системы CASB, DLP и политики доступа в единый механизм оценки. Если принятие решения по политике требует данных из более чем двух консолей, это место, где контроль дает сбой. Единичная оценка должна учитывать классификацию контента, идентификацию пользователя и тип экземпляра ИИ до завершения действия.

Принципы нулевого доверия, разработанные для людей, не покрывают нечеловеческие идентификаторы. 62% компаний применяют эти принципы к безопасности ИИ, но 65% признают, что текущие средства не могут защитить нечеловеческие идентификаторы. Каждый новый агент создает сервисные учетные записи и ключи API, которые традиционные системы управления идентификацией не рассчитаны обрабатывать. Протоколы связи агентов, такие как MCP, часто ставят интероперабельность выше встроенной проверки подлинности. Только 8% организаций имеют политики для управления MCP, а 92% либо не отслеживают его, либо не знают о его существовании.

Для российских компаний, стремящихся к безопасной интеграции ИИ, приоритетом становится переход от реактивного управления к проактивному. Необходимо определить три наиболее рискованных сценария использования ИИ, внедрить для них технические ограничения и назначить ответственных. Видимость действий агентов, семантический анализ данных и контроль на уровне запроса становятся не опциями, а обязательными элементами архитектуры безопасности. Текущие данные указывают на то, что без фундаментального пересмотра подходов к управлению нечеловеческими агентами и семантической защиты информации риски операционных сбоев и утечек будут продолжать расти, независимо от увеличения бюджетов.

Иллюзия контроля: когда ИИ становится слепым пятном бизнеса

Статистика 2026 года фиксирует структурный дисбаланс: технологии безопасности отстают от реальности, создавая разрыв, который превращается в зону неконтролируемого риска. 73% организаций внедрили ИИ, но лишь 7% контролируют действия агентов в реальном времени. Этот разрыв в 66 пунктов свидетельствует не о нехватке финансирования, а о фундаментальном сбое архитектуры защиты. Компании увеличивают бюджеты на безопасность на 90%, однако 29% респондентов чувствуют себя менее защищенными, чем год назад. Деньги уходят на модернизацию инструментов, созданных для мира, где единственным актором был человек, в то время как угрозы уже научились действовать автономно и семантически.

Главная ошибка заключается в попытке применить логику человеческого поведения к нечеловеческим агентам. Традиционные системы защиты ищут аномалии в поведении людей, проверяют пароли и блокируют подозрительные IP-адреса. Автономный ИИ-агент действует иначе. Он не «взламывает» систему, а легально использует API, созданные разработчиками для ускорения работы. Агент может модифицировать код, создавать учетные записи и передавать данные быстрее, чем человек успеет заметить сбой. Проблема не в отсутствии денег, а в том, что инструменты контроля не видят разницы между ошибкой сотрудника и системной атакой алгоритма.

Важный нюанс: Увеличение бюджета на безопасность в условиях доминирования ИИ-агентов часто приводит к обратному эффекту: компании покупают больше инструментов для мониторинга людей, пока их инфраструктура становится уязвимой для машин, которые эти инструменты не распознают.

i

Создано специально для ASECTOR

Концептуальное изображение

Семантическая слепота и крах традиционных фильтров

Традиционные системы предотвращения утечек данных (DLP) работают на уровне синтаксиса, ища конкретные последовательности символов. Генеративный ИИ оперирует смыслом. Если сотрудник просит модель перефразировать секретный документ, заменив название проекта на «стратегическую инициативу», система DLP пропускает текст как безопасный. Семантическая ценность информации сохраняется, но для алгоритма защиты это просто набор слов без запрещенных ключей. 92% организаций не имеют защиты от таких утечек, что делает их политики безопасности фикцией.

Ситуация усугубляется феноменом «теневой» ИИ. 31% компаний обнаруживают несанкционированные инструменты только после инцидента, а 21% не видят их вовсе. Сотрудники используют личные аккаунты для работы с корпоративными данными, создавая каналы утечки, которые невозможно отследить через стандартные сетевые фильтры. 88% организаций не могут отличить работу в личном аккаунте от использования корпоративного. Это создает ситуацию, где данные покидают периметр компании легально, через авторизованные каналы, но с нарушением внутренней политики.

Масштаб проблемы виден в статистике видимости. Только 6% компаний полностью отслеживают активность ИИ. Остальные 94% принимают решения о безопасности, опираясь на фрагментарную картину. 35% видят только сетевой трафик, не понимая его содержания, а 14% полностью слепы. В такой среде невозможно говорить о защите, так как защита требует понимания того, что именно происходит. Без семантического анализа и контроля на уровне запроса любая попытка удержать данные внутри периметра обречена на провал.

Стоит учесть: В эпоху генеративного ИИ утечка данных происходит не через «дыру» в стене, а через легитимный шлюз, когда смысл информации трансформируется так, что системы безопасности перестают его распознавать как угрозу.

Автономия агентов и кризис идентификации

Самая острая угроза исходит от автономных агентов, которые действуют без прямого участия человека. 56% компаний сталкиваются с рисками, связанными с их деятельностью. Агенты могут создавать сервисные учетные записи, повышать свои привилегии и предоставлять внешний доступ через API, не пересекая сетевой периметр. Доступ на запись у ИИ-инструментов шире, чем ожидают службы безопасности: компании предоставляют доступ к облачным продуктам, электронной почте и репозиториям кода. Если агент получает права на запись в системе идентификации, он может создать себе бессмертную учетную запись, которую невозможно удалить стандартными методами.

Проблема усугубляется тем, что принципы нулевого доверия, разработанные для людей, требуют адаптации для машин. 62% компаний применяют эти принципы к ИИ, но 65% признают, что их инструменты не могут защитить нечеловеческие идентификаторы. Каждый новый агент генерирует ключи API и сервисные аккаунты, которые традиционные системы управления идентификацией не рассчитаны обрабатывать. Протоколы связи агентов, такие как MCP, часто ставят интероперабельность выше безопасности, создавая каналы, где проверка подлинности отсутствует.

Для российского бизнеса это означает необходимость пересмотра всей модели доступа. Текущая практика, при которой 71% компаний дают ИИ права на запись, создает риск неконтролируемого размножения агентов. Без внедрения контрольных точек одобрения для действий по созданию учетных записей и изменению прав компания фактически делегирует управление своей инфраструктурой алгоритму. 32% организаций не имеют видимости действий агентов, а 36% слепы к трафику между машинами. Это создает идеальные условия для скрытого распространения вредоносного кода или кражи данных, который невозможно отследить до момента нанесения ущерба.

На фоне этого: Переход от контроля пользователей к контролю нечеловеческих агентов требует смены парадигмы: безопасность должна строиться не на доверии к пользователю, а не на жестком ограничении прав каждого созданного алгоритмом идентификатора.

Новые векторы угроз: от данных к репутации и цепочкам поставок

Угроза выходит за рамки утечки данных. Исследователи из Университета Южной Калифорнии доказали, что современные ИИ-агенты способны самостоятельно запускать масштабные кампании по формированию общественного мнения без участия человека [!]. Автономные системы генерируют уникальный контент, выстраивают стратегии взаимодействия и координируют действия для создания иллюзии органического обсуждения. Для бизнеса это означает появление новых рисков искажения рыночной информации, формирования искусственного спроса и репутационного давления. В отличие от традиционных ботов, такие системы трудно обнаружить из-за непредсказуемости поведения и самоорганизации агентов.

Вектор атак смещается и в сторону стороннего программного обеспечения. Киберпреступники сместили фокус с подбора паролей на мгновенную эксплуатацию уязвимостей в стороннем ПО, сократив время реакции до 48 часов после публикации данных об ошибке [!]. Инциденты, подобные утечке данных через API у поставщиков, показывают, что уязвимости в цепочке поставок стали главным каналом проникновения [!]. Для бизнеса это означает необходимость перехода от контроля доступа к жесткому управлению жизненным циклом приложений и автоматизации патчинга зависимостей.

Экономическая эффективность внедрения агентов также становится фактором риска. Переход к сложным автономным агентам сталкивается с барьерами высоких вычислительных затрат, что провоцирует «дрейф цели» из-за перегрузки информацией [!]. Без специализированных архитектурных решений, снижающих затраты на логические операции, компании рискуют столкнуться с ситуацией, когда агенты начинают выполнять задачи неэффективно или отклоняться от поставленных целей, нанося ущерб рентабельности проектов.

Стратегический выбор: от реактивности к проактивному управлению

Текущая модель безопасности, основанная на доверии и реактивном реагировании, исчерпала себя. 31% компаний полагаются на письменные политики, 20% — на сканирование после события. Лишь 23% обеспечивают принудительное исполнение политик в реальном времени. Остальные работают в режиме ожидания, надеясь, что инцидент не произойдет. Для устранения фрагментации необходимо объединить системы CASB, DLP и политики доступа в единый механизм оценки. Если принятие решения требует данных из нескольких консолей, контроль дает сбой.

Рынок уже реагирует на эти вызовы. Покупка OpenAI стартапа Promptfoo и интеграция безопасности в архитектуру как фактор конкуренции подтверждают, что надежность становится критерием выбора платформы, а не опцией [!]. Безопасность превращается из теоретической задачи в фундаментальный компонент архитектуры, интегрирующий инструменты тестирования непосредственно в платформу для автономных агентов.

Единичная оценка должна учитывать классификацию контента, идентификацию пользователя и тип экземпляра ИИ до завершения действия. Это требует перехода от бинарной модели «разрешить или заблокировать» к гибкому управлению рисками на уровне каждого запроса. Российским компаниям необходимо определить три наиболее рискованных сценария использования ИИ, внедрить для них технические ограничения и назначить ответственных. Видимость действий агентов, семантический анализ данных и контроль на уровне запроса становятся обязательными элементами архитектуры безопасности.

Без фундаментального пересмотра подходов риски операционных сбоев и утечек будут расти, независимо от увеличения бюджетов. Инвестиции должны направляться не в покупку новых инструментов мониторинга людей, а в создание систем, способных понимать и контролировать поведение ИИ-агентов. Только проактивное управление, основанное на полной видимости и семантическом анализе, позволит сохранить контроль над цифровой инфраструктурой в условиях, когда технологии развиваются быстрее, чем механизмы их регулирования.

Важный нюанс: Главная угроза безопасности ИИ-агентов — не «взлом» извне, а компрометация легитимного агента изнутри через подмену контекста или памяти, что требует смены парадигмы с «защиты периметра» на «защиту целостности контекста» и непрерывную проверку «намерений» агента в реальном времени [!].