С развитием ИИ меняются методы и природа кибератак, поэтому возникает вопрос: насколько хорошо существующие тактики и фреймворки безопасности справляются с новыми вызовами?
В новом отчёте исследователи из Anthropic попытались ответить на этот вопрос. Они проанализировали 832 учётные записи, заблокированные за вредоносную киберактивность в период с марта 2025 по март 2026 года, и сопоставили их с базой MITRE ATT&CK — известной систематизацией тактик и техник, используемых злоумышленниками. Часть результатов была опубликована в отчёте Verizon 2026 Data Breach Investigations Report (DBIR), а здесь представлен более детальный анализ. Эти 832 случая — лишь малая часть от общего числа заблокированных аккаунтов за тот период, но именно по ним удалось собрать достаточно данных для всесторонней оценки действий атакующих.
Анализ позволил сделать три основных вывода:
- Злоумышленники используют ИИ таким образом, что становятся опаснее. В частности, они применяют ИИ на более поздних, сложных этапах киберопераций.
- Кибератаки становятся более автономными, и способность ИИ связывать множество частей атаки означает, что старые методы различения высокорисковых и низкорисковых субъектов больше не работают.
- Фреймворк MITRE ATT&CK не полностью отражает инструменты и действия, которые делают атакующих с поддержкой ИИ столь опасными.
Ниже представлено краткое изложение каждого вывода. Более подробный анализ доступен в блоге Frontier Red Team.
Как ИИ делает атакующих опаснее
Самым частым применением ИИ в изученных случаях оказалась подготовка к атаке — в частности, создание вредоносного кода. Из 832 аккаунтов 560 (67,3%) использовали ИИ именно для этого. Более сложные сценарии встречались реже: например, только 54 аккаунта (6,5%) применяли ИИ для «горизонтального перемещения» — навигации внутри взломанной сети.
Обнаружены свидетельства того, что ИИ повышает уровень угрозы. Если в первые шесть месяцев анализа лишь 33% атакующих были отнесены системой оценки рисков к категории среднего риска и выше, то во втором полугодии этот показатель вырос до 56% — почти в 1,7 раза.
За исследуемый период фокус применения ИИ сместился: с техник получения первоначального доступа к системе — на действия после проникновения. Например, использование ИИ для обнаружения учётных записей (выявления действительных аккаунтов в скомпрометированной среде) выросло на 8,9%, тогда как применение ИИ в фишинговых атаках — распространённом способе получения доступа — снизилось на 8,6%. Это указывает на то, что злоумышленники всё чаще задействуют ИИ на более глубоких этапах жизненного цикла атаки.
Раньше такие «пост-компрометационные» техники были доступны только достаточно квалифицированным злоумышленникам. Но исследование показало, что теперь ИИ может выполнять эти действия за менее опытных атакующих.
Почему сложнее оценить уровень угрозы от атакующего
Как службы безопасности оценивают риск конкретного киберпреступника? Традиционно использовались такие показатели, как количество применяемых техник и тип используемых инструментов или интерфейсов. Однако анализ показал, что эти сигналы больше не дают точной картины опасности злоумышленника.
Поскольку ИИ берёт на себя технически сложные задачи, связь между квалификацией атакующего и числом техник практически исчезла: наименее опытные участники применяли в среднем около 16 различных техник, а самые опытные — около 20. Конкретная платформа — будь то Claude Code, API или чат-интерфейс — также не коррелировала с уровнем риска.
Часто отличить более опасных злоумышленников помогает то, на каких этапах атаки они применяют ИИ. Так, они сосредотачивают ИИ на операционно сложных задачах — требующих значительных временных затрат, контроля или принятия решений в реальном времени, таких как обнаружение учётных записей, горизонтальное перемещение и повышение привилегий, а не только на действиях по первоначальному доступу.
Но и этот признак постепенно размывается: как отмечалось выше, операционные техники становятся популярнее у широкого круга атакующих, и всё больше из них попадают в категорию высокого риска. Более устойчивым дифференциатором оказывается то, как злоумышленники выстраивают инфраструктуру вокруг модели: высокорисковые акторы проектируют архитектуры, позволяющие моделям связывать отдельные этапы кибератаки в цепочку и выполнять их с минимальным участием человека.
Почему фреймворкам безопасности нужны изменения
Многие действия, отличающие самых опасных злоумышленников — например, использование ИИ для последовательной оркестровки шагов в цепочке атаки, принятия решений в реальном времени о дальнейших действиях и выполнения без вмешательства человека, — пока не включены в перечень техник фреймворка MITRE ATT&CK.
Вспомним операцию кибершпионажа, пресечённую в ноябре 2025 года. Тогда злоумышленник, действуя почти без участия человека, заставил Claude Code попытаться проникнуть в цели по всему миру. Сопоставление с MITRE ATT&CK показало, что атакующий использовал 30 техник в рамках 13 тактик — это сопоставимо со многими средне-рисковыми участниками из нашего набора данных. Очевидно, что оценка только по числу техник серьёзно недооценивает реальную опасность (для сравнения, наша методика присвоила этой атаке максимальный балл риска — 100).
В ходе этой атаки модель действовала как автономный агент: выполняла команды, эксплуатировала уязвимости, похищала учётные данные и принимала тактические решения, требуя вмешательства человека лишь в нескольких ключевых моментах. Для подобной агентной оркестровки в ATT&CK нет идентификатора — однако именно такие сценарии, по прогнозам, будут встречаться всё чаще по мере роста возможностей ИИ-агентов.
Взгляд в будущее
Результаты анализа помогли усовершенствовать защитные механизмы, встроенные в модели Anthropic. Например, в наиболее мощные модели были внедрены киберзащитные системы, способные обнаруживать и блокировать такие действия, как создание вредоносного ПО или массовая утечка данных. Продолжая сотрудничество с Verizon, специалисты также обсуждают с MITRE возможное развитие фреймворка ATT&CK, чтобы включить в него обнаруженные способы использования ИИ.
Передовые модели стремительно меняют арсенал как атакующих, так и защитников. Команда Anthropic намерена помогать защитникам опережать развитие этих тактик и предоставлять им самые мощные инструменты в первую очередь. Планируется и дальше делиться выводами, полученными в рамках Project Glasswing, из наборов данных, подобных описанному здесь, и из других проектов по кибербезопасности.
В блоге Frontier Red Team опубликована интерактивная визуализация техник, используемых злоумышленниками, чтобы помочь защитникам противостоять угрозам на базе ИИ.