Июнь 2026   |   Обзор события   | 4

Традиционный аудит безопасности становится бесполезным: 76% компаний откатили ИИ-системы

Традиционный аудит безопасности становится бесполезным, так как результаты пентестов устаревают до получения отчета в 84% случаев при частых релизах. Организации вынуждены останавливать внедрение ИИ-систем или выпускать продукты с известными уязвимостями, поскольку скорость разработки обгоняет возможности ручного контроля.

ИСХОДНЫЙ НАРРАТИВ

По данным отчета Aikido Security, опубликованного ресурсом Helpnetsecurity, индустрия информационной безопасности столкнулась с фундаментальным разрывом между скоростью разработки ПО и возможностями традиционного аудита. Исследование «Состояние ИИ в пентестинге» фиксирует критическую ситуацию: 76% организаций были вынуждены приостановить, ограничить или откатить поведение систем на базе искусственного интеллекта за последние 12 месяцев. Еще 71% респондентов отметили, что автоматизация и ИИ усложнили обнаружение, расследование и устранение уязвимостей.

Разрыв между скоростью релизов и проверками

Главная проблема кроется в темпах. Команды разработки внедряют код в продакшн быстрее, чем службы безопасности успевают его проверить. Искусственный интеллект ускоряет циклы создания программ, создавая колоссальное давление на программы безопасности, которые по-прежнему полагаются на периодическую валидацию а ручное тестирование на проникновение.

Статистика показывает, что лишь 21% организаций проводят проверку безопасности при каждом релизе. При этом 84% команд, выпускающих обновления несколько раз в день, сообщают, что результаты пентестов устаревают еще до того, как они их получают. Для сравнения, среди команд с ежемесячным циклом обновлений такую проблему испытывают только 26%.

Ситуация усугубляется тем, что тестирование на проникновение остается точечной процедурой, проводимой в конкретный момент времени. Однако приложения, инфраструктура, зависимости и конфигурации продолжают меняться сразу после завершения аудита. В результате команды вынуждены либо задерживать релизы, либо принимать известные риски.

«Команды вынуждены разбираться с пропущенными проблемами, неопределенностью относительно того, что именно было протестировано, и задержками при попытке выпуска продукта», — отмечает Виллем Делбар, генеральный директор Aikido Security.

Проблема ответственности и устаревших данных

В большинстве компаний наблюдается дисбаланс ответственности. Службы безопасности несут ответственность за риски, но часто не обладают полномочиями влиять на решения о выпуске продукта. Лишь треть команд безопасности имеет одновременно право остановить релиз и ответственность за последствия, если что-то пойдет не так.

Отчет подчеркивает, что ручное тестирование часто не справляется с логическими ошибками и многоэтапными путями атак, требующими глубокого понимания поведения приложения в реальной среде. Более половины организаций (52%) не имеют полной видимости того, что именно проверялось во время пентеста. Это затрудняет оценку: являются ли найденные проблемы изолированными случаями или частью более широкой уязвимости системы.

Кроме того, процесс повторной проверки (ретестинга) работает с перебоями. Только 40% организаций оперативно подтверждают устранение уязвимостей после внедрения исправлений. Задержки или нерегулярность повторных проверок заставляют команды полагаться на предположения о том, что меры по устранению сработали.

«Мы видим, как команды переходят от идеи к продакшну за часы. Поэтому, когда тестирование безопасности занимает недели, вы проверяете систему, которой больше не существует», — приводит пример Антон Осика, генеральный директор Lovable.

Требования к новым инструментам безопасности

Руководители и специалисты ищут способы ускорить валидацию, но при этом требуют жестких гарантий. Востребованы инструменты на базе ИИ, оснащенные механизмами контроля прекращения активности, гарантиями резидентности данных и контрольными точками для проверки человеком. Бизнесу нужна уверенность в достоверности результатов, которые выдают эти системы.

Ключевым узким местом остается триаж — процесс сортировки и оценки уязвимостей. Даже после подтверждения факта уязвимости возникновение дополнительных сложностей при назначении ответственного за исправление тормозит прогресс. Команды хотят четко понимать влияние и критичность каждой найденной проблемы, чтобы отличать реальные угрозы от ложных срабатываний.

Предпочтения по частоте проверок расходятся: большинство лидеров безопасности склоняется к ежеквартальным оценкам, другие предпочитают полугодичный цикл. При этом руководители инженерных отделов ставят во главу угла скорость развертывания, в то время как руководители безопасности больше всего обеспокоены периодом между тестами, когда система остается уязвимой.

Ситуация на рынке показывает, что традиционные методы больше не работают в условиях непрерывной интеграции и доставки. Переход к более частой валидации и внедрение защищенных ИИ-решений становятся не просто трендом, а необходимостью для выживания бизнеса в условиях растущих угроз. Детальный анализ того, как именно внедрять эти изменения без ущерба для скорости разработки, требует отдельного изучения и адаптации под конкретные процессы компаний.

АНАЛИТИЧЕСКИЙ РАЗБОР

Скорость разработки программного обеспечения достигла точки, где традиционные методы безопасности перестают работать физически. Отчет Aikido Security фиксирует не временный сбой, а системный кризис: 76% организаций за последний год были вынуждены приостанавливать работу или откатывать системы на базе искусственного интеллекта. Еще 71% респондентов подтвердили, что автоматизация усложнила выявление уязвимостей. Проблема не в отсутствии инструментов, а в фундаментальном несовпадении ритмов: код меняется быстрее, чем специалисты успевают его проанализировать.

В условиях, когда команды выпускают обновления несколько раз в день, результаты тестирования устаревают еще до момента их получения. 84% команд с высокой частотой релизов сталкиваются с тем, что проверяют версию продукта, которая уже не существует в продакшене. Это создает иллюзию контроля: формально проверка проведена, но реальная система уже изменилась. Для сравнения, в командах с ежемесячными циклами такую проблему испытывают лишь 26% сотрудников. Разрыв между скоростью генерации кода и скоростью его аудита превращает безопасность из защитного барьера в «бутылочное горлышко», которое либо тормозит бизнес, либо игнорируется.

Важный нюанс: Традиционный аудит работает в режиме «стоп-кадра», тогда как современные системы разработки существуют только в режиме «видеопотока». Попытка проверить безопасность дома, пока в нем продолжают перестраивать стены, обречена на провал.

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

Новые угрозы не видимые сканеру

Ситуация усугубляется появлением новых типов угроз, которые не видят классические сканеры. Искусственный интеллект генерирует код, не всегда понимая его контекст, что приводит к возникновению семантических уязвимостей и логических ошибок, недоступных для синтаксического анализа [!]. Эти ошибки проявляются только в специфических сценариях работы, когда ИИ-агенты взаимодействуют с корпоративными системами. Традиционные средства защиты, рассчитанные на человеческих акторов и статичный код, неэффективны против действий автономных агентов, которые могут совершать непреднамеренные действия с доступом к конфиденциальным данным [!].

Критическим фактором становится сжатие времени реакции. Искусственный интеллект сократил окно между публикацией уязвимости и реальной атакой до нескольких часов [!]. В России, которая поглотила почти треть мировых кибератак на бизнес, этот фактор становится решающим. Если злоумышленники используют ИИ для мгновенной генерации эксплойтов, то стратегии, рассчитанные на дни для установки патчей, становятся бесполезными. Традиционные методы защиты, основанные на регулярных обновлениях антивирусных баз, не успевают за скоростью создания новых угроз. Для российского бизнеса это означает, что «окно уязвимости» теперь измеряется не днями, а часами, делая периодический аудит непригодным для выживания.

Стоит учесть: В условиях, когда тестирование занимает недели, а цикл разработки — часы, компании фактически запускают в продакшн системы, которые уже устарели к моменту проверки. Безопасность становится не защитой, а фактором неопределенности.

Kризис корпоративной ответственности

В большинстве компаний службы безопасности несут полную ответственность за риски, но не имеют реальных рычагов влияния на процесс выпуска продукта. Лишь треть команд безопасности обладает одновременно правом остановить релиз и ответственностью за последствия. Эта диспропорция создает опасную иллюзию контроля: безопасность формально присутствует, но фактически отстранена от принятия ключевых решений.

Проблема усугубляется неопределенностью в распределении вины за ИИ-код. Исследования показывают, что 25% кода в производственных системах генерируется ИИ-инструментами, при этом 70% специалистов отмечают появление новых уязвимостей в таких решениях [!]. В 50% случаев вину за инциденты возлагают на службу безопасности, несмотря на отсутствие ее участия в проверке сгенерированного кода. Это создает правовую и организационную ловушку: невозможно определить, кто несет ответственность — разработчик, внедривший код, или юридический отдел, утвердивший риски. Отсутствие четких правил ответственности парализует процессы принятия решений и тормозит внедрение необходимых мер защиты.

Ручное тестирование, десятилетиями считавшееся золотым стандартом, больше не способно охватить динамично меняющуюся среду. Оно не видит сложных многоэтапных атак и не успевает за скоростью изменений в зависимостях. Более того, процесс исправления уязвимостей работает с перебоями: только 40% организаций оперативно подтверждают устранение проблем после внесения исправлений. Остальные вынуждены действовать на веру, полагая, что меры сработали, хотя на деле уязвимость могла остаться или появиться новая из-за некорректного исправления.

Старые методы перестали работать, рынок ищет новые подходы

Руководители и специалисты ищут инструменты, способные не просто ускорить валидацию, но и дать жесткие гарантии. Востребованы решения на базе ИИ, оснащенные механизмами контроля, гарантиями резидентности данных и контрольными точками для проверки человеком. Однако ключевым требованием становится переход от синтаксического анализа к семантическому анализу действий агентов в реальном времени [!]. Без способности понимать контекст и намерения ИИ-агентов любые инструменты останутся слепыми.

Переход к более частой валидации и внедрение защищенных ИИ-решений становится не просто трендом, а условием выживания. Компании, которые не смогут синхронизировать скорость разработки и безопасности, рискуют столкнуться с катастрофическими последствиями. Единственный путь к безопасности в эпоху ИИ — это отказ от идеи «проверки перед запуском» в пользу непрерывного мониторинга и автоматизированного контроля, встроенного непосредственно в процесс разработки. Это требует пересмотра архитектуры безопасности, где управление идентичностью агентов и отслеживание их действий становятся приоритетом [!].

На фоне этого: Единственный путь к безопасности в эпоху ИИ — это отказ от идеи «проверки перед запуском» в пользу непрерывного семантического мониторинга действий ИИ-агентов в реальном времени.

Для российского бизнеса это означает необходимость срочного пересмотра стратегий защиты. Учитывая лидерство страны по количеству атак на ПО и сжатие окна защиты до часов, традиционные методы становятся не просто медленными, а юридически и технически невалидными. Компании должны переходить к моделям, где безопасность интегрирована в каждый этап работы ИИ-агентов, а не является отдельным этапом пост-обработки. Без этого разрыв между скоростью разработки и возможностями защиты будет только расти, превращаясь в критический риск для бизнеса.

Коротко о главном

Почему 84% команд с ежедневными релизами получают устаревшие результаты пентестов?

Высокая частота обновлений кода приводит к тому, что инфраструктура и конфигурации меняются быстрее, чем службы безопасности успевают завершить проверку, делая отчеты неактуальными еще до их получения.

Почему только 21% организаций проводят проверку безопасности при каждом релизе?

Традиционные методы полагаются на периодическую валидацию и ручное тестирование, которые физически не успевают за темпами внедрения кода в продакшн, вынуждая команды задерживать выпуски или принимать известные риски.

Почему 52% компаний не имеют полной видимости проверенных компонентов?

Ручное тестирование часто не справляется с логическими ошибками и сложными путями атак, что затрудняет оценку масштаба уязвимостей и приводит к неопределенности относительно того, какие именно части системы были проверены.

Почему только 40% организаций оперативно подтверждают устранение уязвимостей?

Задержки в процессе повторной проверки (ретестинга) заставляют команды полагаться на предположения об эффективности исправлений, вместо того чтобы иметь гарантию устранения проблем после внедрения патчей.

Почему существует дисбаланс ответственности в 2/3 команд безопасности?

Службы безопасности несут ответственность за риски, но лишены полномочий останавливать релиз продукта, что приводит к ситуации, когда они не могут влиять на решения о выпуске даже при обнаружении критических угроз.

Почему процесс триажа уязвимостей стал ключевым узким местом?

Даже после подтверждения факта уязвимости возникают сложности с назначением ответственного за исправление, что тормозит прогресс и требует четкого понимания критичности каждой проблемы для отделения реальных угроз от ложных срабатываний.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность; Бизнес; Аналитика и исследования; Управление и стратегия

Оценка значимости: 4 из 10

Событие представляет собой глобальный технологический тренд, влияющий на сферу информационной безопасности и экономики, что косвенно затрагивает российские организации, работающие с программным обеспечением и ИИ. Хотя проблема носит системный характер и требует долгосрочных изменений в подходах к аудиту кода, она не вызывает немедленных критических последствий для широкой аудитории в России, оставаясь в основном профессиональной задачей для IT-сектора.

Материалы по теме

ИИ-код: 25% систем под угрозой, ответственность не определена

Статистика о том, что 25% кода генерируется ИИ, а 70% специалистов фиксируют новые уязвимости, служит фундаментом для тезиса о правовой ловушке: данные иллюстрируют парадокс, когда 50% инцидентов вменяются службе безопасности, не участвовавшей в проверке, подчеркивая кризис распределения ответственности.

Подробнее →
ИИ стал частью корпоративной инфраструктуры — безопасность теперь зависит от человека и машины

Утверждение о появлении «семантических уязвимостей», которые не видит синтаксический анализ, опирается на вывод о том, что ИИ-генераторы не понимают контекст кода; этот факт обосновывает неэффективность классических сканеров против логических ошибок, возникающих в специфических сценариях работы агентов.

Подробнее →
Россия лидирует по атакам на ПО: 46% мировых угроз и окно защиты в часы

Факт сокращения окна между публикацией уязвимости и атакой до нескольких часов используется для аргументации о том, что традиционные стратегии патчинга, рассчитанные на дни, стали бесполезными, особенно в контексте России, где концентрация атак делает скорость реакции критическим фактором выживания.

Подробнее →
Инвестиции в защиту ИИ растут, а уверенность в безопасности падает

Требование перехода от синтаксического к семантическому анализу действий агентов в реальном времени подкрепляется данными о неэффективности существующих средств защиты против нечеловеческих акторов; это обосновывает вывод о том, что без понимания контекста и намерений ИИ любые инструменты останутся слепыми.

Подробнее →
Как защитить идентичность от рисков агентов ИИ

Упоминание непреднамеренных действий автономных агентов с доступом к конфиденциальным данным используется для обоснования необходимости смены архитектуры безопасности: от разовых проверок к непрерывному мониторингу и управлению идентичностью агентов как приоритетной задаче.

Подробнее →