Злоумышленники все чаще используют системы искусственного интеллекта (ШИ) для атак, заменяя традиционные корпоративные инструменты типа PowerShell.
Вместо вредоносного ПО киберпреступники злоупотребляют легитимными ИИ-инструментами, которыми пользуются предприятия. Эту тенденцию некоторые эксперты описывают как «жизнь за счет ИИ».
«Мы наблюдаем это в случаях с отравленными серверами MCP в цепях поставок, использование легитимных моделей вроде Claude для извлечения конфиденциальных данных и вирусных агентов, как OpenClaw, вызывающих разрушительные действия», – говорит Каушик Шанади. «Проблема в том, что большинство систем были внедрены до того, как было продумано управление и безопасность».
Эксперты по безопасности отмечают, что переход от простых атак к похищению агентов меняет ландшафт угроз ИИ.
«Злоумышленники больше не пытаются только обмануть чат-бота, они эксплуатируют легитимные функции автоматизации и памяти, которые делают помощников на основе ИИ полезными», — добавляет вице-президент Radware Паскаль Гинненс.
Выдача себя за сервер MCP
В сентябре 2025 года злоумышленники использовали поддельный сервер MCP для интеграции Postmark (транзакционный почтовый сервис ActiveCampaign) в помощников ИИ.
Пакет выглядел легитимным и работал в 15 версиях, пока изменение кода в одну строку не позволило незаметно изымать конфиденциальные сообщения в течение нескольких дней. Каждую неделю этот пакет загружался 1500 раз в реестре Node.js, создавая риск для предприятий.
«Это как захват имен в реестре пакетов ИИ без центрального органа проверки и без криптографической связи», — объясняет Брэд Микли, CEO Jozu.
Серверы MCP, предоставляющие агентам ИИ доступ к инструментам и данным, становятся мишенью для атак. «Если вставить вредоносный инструмент или коннектор, агент ИИ может выполнить его незаметно», — добавляет Захра Тимса, CEO i-GENTIC AI.
Злоупотребление платформами ИИ как C2-каналами
Киберпреступники превращают сервисы ИИ в скрытые каналы командования и управления (C2), маскируя вредоносный трафик под легитимные запросы.
К примеру, бекдор SesameOp скрывал командный трафик внутри API OpenAI Assistants. Аналогичные атаки показали, что Microsoft Copilot и Grok можно манипулировать через публичные веб-интерфейсы для получения контролируемых URL и ответов без ключа API.
Отравление зависимостей в рабочих процессах ИИ
Некоторые атаки направлены на отравление зависимостей, используемых агентом для обработки данных.
К примеру, скомпрометированный пакет NPM менял работу агентского конвейера, влияя на принятие решений и результаты без видимых аномалий.
Двойные агенты
Злоумышленники эксплуатируют уязвимости агентов ИИ, а не старых IT-компонентов.
Пример: уязвимость EchoLeak в Microsoft 365 Copilot (CVE-2025–32711) позволяла одному электронному письму извлекать внутренние файлы и сообщения на внешний сервер.
OpenClaw подвергся серии уязвимостей (CVE-2026–25253), позволявших вредоносным сайтам получить контроль над агентами ИИ. Было обнаружено более 21 000 таких случаев, 12% рынка навыков для OpenClaw содержали вредоносное ПО, отмечает доктор Сулейман Озарслан, VP Picus Labs.
Атака на Microsoft Copilot Personal через Reprompt позволила обходить встроенные средства защиты, пока Microsoft не исправила проблему патчем.
Шпионские кампании с помощью ИИ
В сентябре 2025 года Anthropic обнаружила, что группа GTG-1002 использовала Claude Code для автоматизации 80–90% тактических операций, включая сценарии, исследование целей и создание инструментов.
«Злоумышленники разделили операцию на тысячи безвредных задач и использовали ролевые игры, чтобы модель считала работу легитимной», – объясняет Ягуб Рагимов, CEO Polygraf AI.
Модульные платформы ИИ с черной шляпой
Злоумышленники создают специализированные наступательные платформы ИИ, как Xanthorox AI, с модулями для генерации вредоносного ПО и эксплойтов.
«Интеграция Hexstrike с MCP позволяет Xanthorox работать автономно, выходя за пределы простого» ассистированного «взлома», – добавляет Гиннесс из Radware.
Вывод
Многие злоумышленники больше не атакуют традиционное ПО, а используют доверие к ИИ.
«Команды безопасности должны относиться к помощникам ИИ как к привилегированным пользователям: строгий контроль, мониторинг и никогда не считать их безопасными», – заключает Збинек Сопух, технический директор Safetica.