Количество кибератак, где ИИ становится частью эксплуатационной поверхности атаки, особенно в корпоративной инфраструктуре, облаках и сервисах, где ИИ модули интегрированы с бизнес процессами, выросло минимум в 2 раза в I квартале 2026 г., по сравнению с аналогичным периодом 2025 г. При этом доля атак на ИИ-системы от общего числа кибератак на данный момент остается незначительной – около 1-2%, в отраслях с высоким уровнем зрелости в ИИ – около 4-5%. Эксперты «Кросс технолоджис» и Infera Security отмечают, что более 40% кибератак на ИИ-модели – это промпт-инъекции.

Prompt injection – это тактика злоумышленников, в которой хакеры манипулируют входными данными, чтобы заставить модель игнорировать системные инструкции и совершать вредоносные действия. Существуют прямые и непрямые инъекции. В первом случае в самом промпте после обычного запроса идет, например, фраза «забудь предыдущие инструкции», а далее вредоносное указание. Во втором –вредоносное указание размещается во внешних данных, например, ссылках, которые обрабатываются автоматически.

Около 25% атак – это раскрытие конфиденциальной информации. В этом сценарии злоумышленники используют промпты, чтобы заставить модель выдать чувствительные данные, которые есть в обучающей выборке и контексте RAG. Это могут быть, например, персональные данные клиентов и сотрудников, финансовая информация, данные об информационной инфраструктуре.

Порядка 20%, по оценкам специалистов «Кросс технолоджис» и Infera Security, приходится на Data Poisoning или загрязнение обучающих данных. В этом случае хакеры добавляют в обучающую выборку искаженные данные для внедрения бэкдоров или изменения поведения модели. В этом случае ИИ-модель может быть изначально обучена совершать вредоносные действия при реализации определенных сценариев, например, специализированных промптов, или же будет совершать автономные вредоносные действия – собирать чувствительную информацию, передавать данные на сторонний сервер и так далее.

Среди отраслей атаки на ИИ-модели чаще всего происходят в финансовой сфере, ИТ-секторе, медицине, промышленности и ритейле. Эти сферы являются наиболее зрелыми в работе с искусственным интеллектом, для злоумышленников появляется широкий периметр для реализации специфических атак. На эти сферы будет направлено до 90% всех атак на ИИ-модели, так как ИИ используется в критических инфраструктурах, где он активно применяется для автоматизации и оптимизации бизнес-операций, обеспечения эффективной работы с персональными и чувствительными данными. Учитывая важность этих систем для бизнеса и государства, злоумышленники начинают активно использовать уязвимости ИИ, что требует усиленной защиты и постоянного мониторинга безопасности таких решений.

«Массовое внедрение ИИ в инфраструктуру в России началось не так давно, активно этот процесс происходит последние 2 года. Вопросы обеспечения безопасности ИИ-моделей становятся острее, а методики хакеров становятся все более разнообразными. Важно понимать, что хакеры, атакующие отечественные компании, применяют уже проверенные методы и лучшие мировые практики, в то время как в России проекты по защите искусственного интеллекта находятся на стадии становления и только начинаются», – сказал Антон Редько, руководитель группы «Безопасная разработка» компании «Кросс технолоджис».

Эксперты «Кросс технолоджис» и Infera Security также подчеркивают, что с 1 марта 2026 г. вступил в силу Приказ ФСТЭК России №117, где обновлены требования к защите информации в госорганах и впервые прописана необходимость защиты ИИ-моделей и компонентов: обучающих датасетов, параметров, сервисов принятия решений.

Короткая ссылка