Текст построен на материалах SANS и опыте преподавателя SEC535.
Ручная стрельба оставалась нормой всю историю конфликтов, от лука до клавиатуры. Человек выбирал цель и наносил удар, рука лежала на спусковом крючке. Теперь между оператором и оружием больше нет поводка.
Линия водораздела прошла между двумя режимами. Сначала нейросеть работала как «продолжение пера»: помогала писать фишинговые письма, предлагала эксплойты, делала наброски вредоносного кода. В SANS Technology Institute ещё в 2023 году вышла работа, в которой автор показывал, как человек без серьёзных навыков вынуждал чат-бота выдавать малварь в обход защит. Этот период там назвали «эпохой ассистента».
Примерно тогда же, на конференции Hackers Teaching Hackers, дебютировал проект Guided Network Access Weapon (GNAW), ранний образец агентского вредоносного ПО, способного самостоятельно переписывать собственный код. С тех пор прошло несколько лет, и фронтирные модели начали самостоятельно выстраивать цепочки вызовов инструментов, корректировать ошибки в реальных средах, итеративно перебирать варианты. Появился федеральный повод вмешаться в выпуск конкретной модели: в тексте прямо упоминается Anthropic Fable 5, отозванная с рынка из-за опасений по поводу возможностей.
Агентный ИИ в кибербезе это программа, получающая цель и самостоятельно проходящая шаги к ней. Она сама планирует, обращается к инструментам, исправляет сбои, выполняет действия. Человека в контуре на каждом шаге больше нет. Прикладной эффект термин получил мгновенно: «Script Kiddie as a Service» стало именем для явления, в котором начинающие операторы через агентов разрабатывают эксплойты и проводят кампании автономно. Порог рухнул, и теперь достаточно намерения плюс доступа к инструменту.
У этого перехода два лица. У новичков убрано техническое мастерство как препятствие, предел их атак теперь задаётся возможностями модели, а не человека. Поскольку неподготовленные операторы тянут из схожих моделей, возникает поведенческая монокультура: стандартизированный фишинг, одинаковые цепочки эксплойтов, единые шаблоны. Это неудобно нападающим и одновременно подарок защитникам: зная дефолтные паттерны, можно предсказывать массовые угрозы и глушить их заранее. Объём компетентных атак растёт.
У опытных противников пик мастерства остаётся прежним, но появляется скорость. Агенты, обученные на их приёмах, выполняют кампании параллельно: задачи, на которые уходили недели, теперь укладываются в часы. Со временем опытные операторы уйдут от дефолтного поведения моделей и будут адаптировать технику под себя.
В сумме: больше нападающих на входе плюс быстрее атаки наверху, итого расширяется поверхность угрозы. Это значит, что авторизованные red team и offensive-операции обязаны использовать тот же арсенал для эмуляции реальных угроз. Без этого проверки перестают быть картиной противника.
Автономная социальная инженерия
Цепочка состоит из двух агентов. Первый собирает разведку через открытые источники: LinkedIn, пресс-релизы, записи конференций. На выходе у него подробный профиль цели. Второй генерирует и отправляет персонализированные сообщения, ведёт переписку, шаг за шагом двигает разговор к цели. Участие человека в коммуникации равно нулю. Защитники теряют привычные сигналы: неуклюжую грамматику, переработанные шаблоны, следы массовой рассылки. Сообщения становятся беглыми, единственными в своём роде, привязанными к фактам о жертве. Остаётся инфраструктура: репутация отправителя, аутентификация DKIM, SPF, DMARC. На эти сигналы придётся опираться жёстче, чем когда-либо, а под такой нагрузкой они могут не выдержать.
Автономная эксплуатация и поиск уязвимостей
Каждый новый релиз модели снижает планку рабочего эксплойта. Агент, связанный с базой известных уязвимостей через retrieval-augmented generation, проводит разведку, оценивает вероятность подверженности цели, подбирает подходящий эксплойт и докладывает оператору: «Я полагаю, это сработает, исходя из этих индикаторов. Запустить?» Такой рабочий процесс уже не фантазия.
Разработка и обфускация малвари
Вредоносное ПО становится агентским: агенты переписывают существующие образцы в более тихие штаммы, зная, что старые уже на контроле. Корни видны в GNAW, показанной на Hackers Teaching Hackers.
Людей быстро увлекает результативность агентов. Они говорят быстро, автономно, с непрерывной уверенностью. Ловушка в том, что агент ищет завершённую задачу и ответ, который выглядит правильным, а не истину. Намерения обманывать у него нет, как нет и намерений вообще, но получается уверенная фабрикация. Приватного взгляда на реальное состояние хоста у него тоже нет. Retrieval выдаёт правдоподобно связанную информацию, а не действительно применимую. Агент часто не сверяет версию сервиса, специфику конфигурации и достижимость узла по сети. Ложные срабатывания приходят тем же ровным голосом, что и верные.
SANS Secure AI Blueprint
Роб Т. Ли, Chief AI Officer в SANS, описал каркас из трёх направлений: Govern AI (политика, надзор, подотчётность), Protect AI (защита реально работающих систем), Utilize AI (использование ИИ для атаки и защиты). Последнее названо самым острым лезвием для offensive-операций. Руководство обычно уравнивает «безопасность ИИ» с Govern: папки регламентов, комитеты, тихие комнаты переговоров. Аргумент автора в том, что только Utilize даёт доказательство. Доказательство это настоящие атаки против настоящих систем, проверяющие, держат ли оборону политика и харденинг. «Оборона остаётся теорией, пока она не столкнётся с ударом». Операторы всё чаще держат на себе ответственность за программу в целом, потому что именно они обеспечивают этот контакт.
Оружие теперь может целиться само и наносить удар само. Но судить, стоит ли стрелять, машина не способна. Она называет фантомные цели и ровным голосом спрашивает разрешения открыть огонь. Разделение труда прописано жёстко: машине вся механика (прицеливание, выстрел, разведка, написание кода, разговор), человеку (воину) остаётся суждение, отличающее истинный сигнал от уверенной лжи и удерживающее огонь до уверенности.
SEC535 «Offensive AI: Attack Tools and Techniques» пройдёт три дня в SANS San Antonio 2026 в августе 2026 года. Курс построен на практике: участники работают с инструментами собственными руками. Среди лабораторных тем AI-assisted recon и social engineering, атаки с дипфейками и клонированием голоса, поиск уязвимостей с поддержкой ИИ, разработка и обфускация вредоносного ПО с помощью ИИ. Цель простая: получить ясное чувство дальности действия, пределов и точек, где инструменту доверять нельзя. «Машина будет целиться. Будь суждением за выстрелом».
Ручная стрельба оставалась нормой всю историю конфликтов, от лука до клавиатуры. Человек выбирал цель и наносил удар, рука лежала на спусковом крючке. Теперь между оператором и оружием больше нет поводка.
Линия водораздела прошла между двумя режимами. Сначала нейросеть работала как «продолжение пера»: помогала писать фишинговые письма, предлагала эксплойты, делала наброски вредоносного кода. В SANS Technology Institute ещё в 2023 году вышла работа, в которой автор показывал, как человек без серьёзных навыков вынуждал чат-бота выдавать малварь в обход защит. Этот период там назвали «эпохой ассистента».
Примерно тогда же, на конференции Hackers Teaching Hackers, дебютировал проект Guided Network Access Weapon (GNAW), ранний образец агентского вредоносного ПО, способного самостоятельно переписывать собственный код. С тех пор прошло несколько лет, и фронтирные модели начали самостоятельно выстраивать цепочки вызовов инструментов, корректировать ошибки в реальных средах, итеративно перебирать варианты. Появился федеральный повод вмешаться в выпуск конкретной модели: в тексте прямо упоминается Anthropic Fable 5, отозванная с рынка из-за опасений по поводу возможностей.
Агентный ИИ в кибербезе это программа, получающая цель и самостоятельно проходящая шаги к ней. Она сама планирует, обращается к инструментам, исправляет сбои, выполняет действия. Человека в контуре на каждом шаге больше нет. Прикладной эффект термин получил мгновенно: «Script Kiddie as a Service» стало именем для явления, в котором начинающие операторы через агентов разрабатывают эксплойты и проводят кампании автономно. Порог рухнул, и теперь достаточно намерения плюс доступа к инструменту.
У этого перехода два лица. У новичков убрано техническое мастерство как препятствие, предел их атак теперь задаётся возможностями модели, а не человека. Поскольку неподготовленные операторы тянут из схожих моделей, возникает поведенческая монокультура: стандартизированный фишинг, одинаковые цепочки эксплойтов, единые шаблоны. Это неудобно нападающим и одновременно подарок защитникам: зная дефолтные паттерны, можно предсказывать массовые угрозы и глушить их заранее. Объём компетентных атак растёт.
У опытных противников пик мастерства остаётся прежним, но появляется скорость. Агенты, обученные на их приёмах, выполняют кампании параллельно: задачи, на которые уходили недели, теперь укладываются в часы. Со временем опытные операторы уйдут от дефолтного поведения моделей и будут адаптировать технику под себя.
В сумме: больше нападающих на входе плюс быстрее атаки наверху, итого расширяется поверхность угрозы. Это значит, что авторизованные red team и offensive-операции обязаны использовать тот же арсенал для эмуляции реальных угроз. Без этого проверки перестают быть картиной противника.
Автономная социальная инженерия
Цепочка состоит из двух агентов. Первый собирает разведку через открытые источники: LinkedIn, пресс-релизы, записи конференций. На выходе у него подробный профиль цели. Второй генерирует и отправляет персонализированные сообщения, ведёт переписку, шаг за шагом двигает разговор к цели. Участие человека в коммуникации равно нулю. Защитники теряют привычные сигналы: неуклюжую грамматику, переработанные шаблоны, следы массовой рассылки. Сообщения становятся беглыми, единственными в своём роде, привязанными к фактам о жертве. Остаётся инфраструктура: репутация отправителя, аутентификация DKIM, SPF, DMARC. На эти сигналы придётся опираться жёстче, чем когда-либо, а под такой нагрузкой они могут не выдержать.
Автономная эксплуатация и поиск уязвимостей
Каждый новый релиз модели снижает планку рабочего эксплойта. Агент, связанный с базой известных уязвимостей через retrieval-augmented generation, проводит разведку, оценивает вероятность подверженности цели, подбирает подходящий эксплойт и докладывает оператору: «Я полагаю, это сработает, исходя из этих индикаторов. Запустить?» Такой рабочий процесс уже не фантазия.
Разработка и обфускация малвари
Вредоносное ПО становится агентским: агенты переписывают существующие образцы в более тихие штаммы, зная, что старые уже на контроле. Корни видны в GNAW, показанной на Hackers Teaching Hackers.
Людей быстро увлекает результативность агентов. Они говорят быстро, автономно, с непрерывной уверенностью. Ловушка в том, что агент ищет завершённую задачу и ответ, который выглядит правильным, а не истину. Намерения обманывать у него нет, как нет и намерений вообще, но получается уверенная фабрикация. Приватного взгляда на реальное состояние хоста у него тоже нет. Retrieval выдаёт правдоподобно связанную информацию, а не действительно применимую. Агент часто не сверяет версию сервиса, специфику конфигурации и достижимость узла по сети. Ложные срабатывания приходят тем же ровным голосом, что и верные.
SANS Secure AI Blueprint
Роб Т. Ли, Chief AI Officer в SANS, описал каркас из трёх направлений: Govern AI (политика, надзор, подотчётность), Protect AI (защита реально работающих систем), Utilize AI (использование ИИ для атаки и защиты). Последнее названо самым острым лезвием для offensive-операций. Руководство обычно уравнивает «безопасность ИИ» с Govern: папки регламентов, комитеты, тихие комнаты переговоров. Аргумент автора в том, что только Utilize даёт доказательство. Доказательство это настоящие атаки против настоящих систем, проверяющие, держат ли оборону политика и харденинг. «Оборона остаётся теорией, пока она не столкнётся с ударом». Операторы всё чаще держат на себе ответственность за программу в целом, потому что именно они обеспечивают этот контакт.
Оружие теперь может целиться само и наносить удар само. Но судить, стоит ли стрелять, машина не способна. Она называет фантомные цели и ровным голосом спрашивает разрешения открыть огонь. Разделение труда прописано жёстко: машине вся механика (прицеливание, выстрел, разведка, написание кода, разговор), человеку (воину) остаётся суждение, отличающее истинный сигнал от уверенной лжи и удерживающее огонь до уверенности.
SEC535 «Offensive AI: Attack Tools and Techniques» пройдёт три дня в SANS San Antonio 2026 в августе 2026 года. Курс построен на практике: участники работают с инструментами собственными руками. Среди лабораторных тем AI-assisted recon и social engineering, атаки с дипфейками и клонированием голоса, поиск уязвимостей с поддержкой ИИ, разработка и обфускация вредоносного ПО с помощью ИИ. Цель простая: получить ясное чувство дальности действия, пределов и точек, где инструменту доверять нельзя. «Машина будет целиться. Будь суждением за выстрелом».