Каждая третья уязвимость в ИИ-приложениях — высокого риска | AI Радар
Исследование

Каждая третья уязвимость в ИИ-приложениях — высокого риска: в 2,7 раза опаснее среднего ПО

📅 3 июля 2026 ✍️ Александр Григорьев 🏷 Кибербезопасность · LLM · Пентест
Компания «Информзащита» опубликовала исследование на основе 455 пентестов: 32% уязвимостей, обнаруженных в AI- и LLM-приложениях, относятся к высокорисковым — против 12% в среднем по остальным классам систем. Риск-профиль ИИ-приложений оказался в 2,7 раза выше, а закрывают такие уязвимости компании медленнее всего — лишь 38,4% критичных находок устраняется вовремя.
32%
Уязвимостей ИИ/LLM
высокого риска
2.7×
Выше риск-профиль
vs среднее по ПО
38.4%
Устранено находок
(было 21.1% год назад)

Что показало исследование «Информзащиты»

Аналитики компании «Информзащита» проанализировали 455 проектов по тестированию на проникновение, выполненных в 2026 году для компаний с числом сотрудников от 500 человек. Ключевой вывод: если среди всех классов приложений в среднем высокорисковыми оказываются лишь 12% найденных уязвимостей, то для AI- и LLM-систем этот показатель достигает 32% — риск-профиль ИИ-приложений оказался в 2,7 раза выше среднего. При этом доля высокорисковых находок держится стабильно второй год подряд, что исключает версию о временном эффекте раннего внедрения технологии — проблема системная, а не переходная.

Ухудшается и скорость реакции: медианное время устранения серьёзных находок выросло с 19 дней в 2025 году до 36 дней в 2026-м. Иначе говоря, критичные уязвимости в ИИ-системах не только чаще встречаются, но и дольше остаются открытыми — а значит, дольше доступны для эксплуатации.

Где чаще всего пробивают ИИ-системы

Среди компаний, столкнувшихся с реальными инцидентами в AI-приложениях, самым частым вектором оказался Shadow AI — несанкционированное использование внешних ИИ-сервисов сотрудниками в обход политики безопасности (44% случаев). Далее следуют отравление данных и моделей вместе с небезопасной обработкой ответов LLM (41%), уязвимости цепочки поставок (35%) и классическая для генеративного ИИ проблема prompt injection (34%). Замыкают список ошибки самой LLM и слабости векторных баз данных (32%), избыточная автономность агентов и утечка системных промптов (24%), дезинформация (20%) и неограниченное потребление ресурсов (15%).

Показательно и сравнение по типам приложений: если для веб-приложений компании закрывают 73,7% высокорисковых находок, а для API — 77,3%, то для AI/LLM-систем этот показатель — самый низкий среди всех категорий, всего 38,4%. Десктопные приложения показывают 40,2% — то есть даже устаревающий класс ПО закрывают эффективнее, чем современные ИИ-сервисы.

AI Радар — Аналитический дашборд
Полная картина рынка ИИ России и мира
520 млрд ₽рынок ИИ России
+24%рост г/г
800+AI-компаний
$3.68 трлнпрогноз мир к 2030
На главную

Почему автоматика не справляется

78% команд безопасности признали, что автоматические сканеры и ИИ-инструменты для тестирования пропускают критичные уязвимости, требующие ручной проверки специалистом. Готовность полностью доверить пентест автономным инструментам за год резко упала — с 29% до 9% опрошенных. В результате 47% организаций перешли на гибридную модель: рутинные проверки некритичных систем отдают автоматизации, а критичную инфраструктуру продолжают тестировать вручную профильные специалисты.

Отдельно исследование фиксирует управленческий разрыв: 57% руководителей уверены, что их компания укладывается в SLA по устранению уязвимостей, тогда как среди практикующих специалистов по безопасности с этим согласны лишь 15%. Расхождение в 42 процентных пункта означает, что бизнес системно недооценивает объём неустранённых рисков в собственных ИИ-системах.

Что это значит для российских компаний

Для российского бизнеса, который в 2026 году массово переходит от пилотов к промышленной эксплуатации ИИ, это исследование — сигнал не откладывать выстраивание процессов безопасности до момента инцидента. Требования 152-ФЗ о персональных данных и регулирование значимых объектов КИИ уже обязывают компании отчитываться о защищённости систем, обрабатывающих чувствительные данные, — а LLM-сервисы, интегрированные в банковские и государственные процессы, попадают под эту категорию напрямую.

Практический вывод для служб безопасности: закладывать в бюджет отдельный контур тестирования именно для AI/LLM-компонентов, не полагаться исключительно на автоматизированные ИИ-сканеры и в первую очередь закрывать риски Shadow AI — использование сотрудниками сторонних чат-ботов без контроля ИБ-службы остаётся самой массовой причиной реальных инцидентов.

Разрыв между ожиданиями бизнеса и реальностью

Самый тревожный вывод исследования — не отдельные цифры, а системный разрыв в восприятии риска между менеджментом и специалистами по безопасности: пока руководство считает, что компания в целом справляется с устранением уязвимостей в срок, на земле картина выглядит иначе — критичные находки в ИИ-системах закрываются медленнее, чем в любом другом классе ПО, включая устаревающие десктопные приложения. Это создаёт окно уязвимости именно в тот момент, когда компании максимально активно интегрируют LLM в процессы, работающие с деньгами, персональными данными и юридически значимыми решениями — то есть там, где цена инцидента выше всего.

📎 Первоисточник: CNews · Июль 2026 ↗