Искусственный интеллект стремительно становится критической частью корпоративной инфраструктуры, но уровень его защиты заметно отстает от темпов внедрения. По данным отчета AI and Adversarial Testing Benchmark Report 2026 компании Pentera, большинство руководителей по информационной безопасности (CISO) пытаются защищать AI‑системы инструментами и подходами, которые изначально не предназначены для эпохи ИИ.
Ограниченная видимость: компании не знают, как и где используется ИИ
Современные AI‑решения почти никогда не существуют обособленно. Они встраиваются в облачную инфраструктуру, системы управления идентификацией и доступом (IAM), бизнес‑приложения, дата-пайплайны и аналитические платформы. Ответственность за эти компоненты распределена между разными командами — от разработки до ИТ‑операций и безопасности, — в результате чего централизованный контроль за использованием ИИ фактически размывается.
Согласно опросу 300 CISO и старших руководителей по кибербезопасности в США, 67% респондентов признают, что имеют лишь ограниченное представление о том, как именно ИИ используется в их организации. Ни один участник не заявил о полной прозрачности. Практически все признают существование «теневого ИИ» — несанкционированного или слабо контролируемого использования AI‑инструментов бизнес‑подразделениями.
Отсутствие инвентаризации AI‑активов делает управление рисками крайне затруднительным. Остаются без ответа базовые вопросы: какими учетными записями и токенами пользуются ИИ‑сервисы, к каким данным они имеют доступ, как ведут себя при сбоях средств контроля, кто отвечает за их обновление и мониторинг. В таких условиях формально могут существовать политики безопасности ИИ, но фактически они не покрывают значимую часть реальных сценариев использования.
Главная проблема — не деньги, а дефицит компетенций в безопасности ИИ
Несмотря на внимание к теме на уровне советов директоров, ключевым барьером для обеспечения безопасности ИИ оказались не бюджеты. Лишь 17% CISO назвали недостаток финансирования основной проблемой. Гораздо чаще руководители указывают на отсутствие квалифицированных специалистов и отработанных методик оценки рисков, специфичных для AI‑систем.
ИИ привносит в инфраструктуру новые типы поведения и векторы атак, которые сложно оценивать в рамках традиционных подходов к кибербезопасности. Среди них:
- автономное принятие решений и выполнение действий от имени пользователя или сервиса;
- косвенные пути доступа к данным и системам через цепочки интеграций и подключенные плагины;
- высокопривилегированные взаимодействия между системами (например, LLM‑агенты с доступом к кодовой базе и корпоративным хранилищам);
- специфические угрозы, такие как отравление данных (data poisoning), кража модели или промпт‑инъекции.
Многие организации только начинают выстраивать практики, которые встраивают безопасность ИИ в жизненный цикл разработки (SDLC) и эксплуатацию: от архитектурных обзоров и «red teaming» для ИИ до сценарного адверсариального тестирования. Хотя появляются отраслевые ориентиры — например, рамочные модели управления рисками NIST AI RMF или стандарты вроде ISO/IEC 42001, — в большинстве компаний эти подходы еще не стали стандартом.
Ставка на традиционные средства защиты: 75% компаний полагаются на «наследие»
В отсутствие зрелых практик и специализированных решений по безопасности искусственного интеллекта большинство предприятий пытаются «накрыть» AI‑инфраструктуру классическими средствами кибербезопасности. По данным Pentera, 75% CISO используют для защиты AI‑систем уже существующие инструменты — от EDR и средств защиты приложений до решений для облачной и API‑безопасности. Лишь 11% респондентов заявили о наличии у них специализированных средств защиты ИИ.
Такая стратегия типична для всех технологических сдвигов: на первом этапе компании расширяют периметр существующих контролей, а специализированные практики появляются позже. Однако средства, созданные для классических систем, плохо учитывают особенности AI‑моделей и сервисов. Например, они:
- не видят логические уязвимости, связанные с поведением модели, а не с уязвимостями кода;
- практически не отслеживают злоупотребления на уровне запросов к LLM (prompt injection, data exfiltration через ответы модели);
- не моделируют комбинированные векторы атак, когда ИИ становится «проводником» к другим системам и данным.
Чем AI‑инфраструктура принципиально отличается от классической
Если традиционная безопасность фокусируется на уязвимостях компонентов (хост, сеть, приложение), то безопасность ИИ должна учитывать динамическое поведение модели в реальной среде. Одно и то же AI‑приложение может быть безопасным при ограниченном доступе к данным и крайне рискованным, если ему предоставить широкие привилегии. Классические средства защиты эту грань зачастую не видят.
Дополнительную сложность вносят внешние AI‑сервисы (SaaS‑модели, публичные LLM‑API), где часть рисков фактически передается поставщику. Без корректной оценки цепочки поставок и договорных гарантий безопасности компании остаются уязвимыми для утечек данных, компрометации моделей и зависимостей от сторонних библиотек и фреймворков.
Практические шаги для усиления безопасности искусственного интеллекта
Отчет Pentera показывает: основной разрыв связан не с отсутствием интереса к теме, а с фундаментальными пробелами — нехваткой прозрачности, компетенций и специализированного тестирования. Чтобы сократить это отставание, организациям имеет смысл сосредоточиться на нескольких приоритетных направлениях:
- Инвентаризация AI‑активов. Создать реестр всех моделей, сервисов и интеграций ИИ, включая сторонние решения и «теневой ИИ» в бизнес‑подразделениях.
- Назначение ответственных. Ясно определить владельцев для каждой AI‑системы: продуктовый, технический и ответственный за безопасность.
- AI‑политики и контроль доступа. Ограничить доступ ИИ к данным и системам по принципу наименьших привилегий, внедрить правила использования внешних AI‑сервисов.
- Адверсариальное тестирование ИИ. Регулярно проверять AI‑системы на устойчивость к атакам — от промпт‑инъекций до попыток обхода бизнес‑логики и утечки данных.
- Обучение команд. Повысить осведомленность разработчиков, инженеров данных и специалистов по безопасности о специфичных для ИИ угрозах и методах их снижения.
По мере того как искусственный интеллект становится «нервной системой» цифрового бизнеса, относиться к его защите как к второстепенной задаче уже недопустимо. Организациям, работающим с ИИ, важно переходить от формального расширения традиционных контролей к целенаправленному управлению рисками: строить прозрачность использования ИИ, развивать экспертизу, внедрять специализированное тестирование и использовать отраслевые стандарты. Компании, которые начнут системно заниматься безопасностью ИИ уже сейчас, получат не только снижение киберрисков, но и конкурентное преимущество — возможность внедрять новые AI‑сценарии быстрее и увереннее, чем их менее подготовленные конкуренты.
