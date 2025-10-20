Разделы

ПО Безопасность Искусственный интеллект axenix
|

Искусственный вайб: «Солар» зафиксировал всплеск уязвимостей в ИИ-сервисах

По данным центра расследования киберугроз Solar 4RAYS группы компаний «Солар» в III квартале 2025 г. доля обнаруженных уязвимостей в ИИ-сервисах составила 5%, ранее подобных случаев не фиксировалось. Всплеск происходит впервые, возможно, из-за растущего тренда на «вайбкоддинг» – генерации кода с помощью ИИ без последующей проверки и тестирования. Об этом CNews сообщили представители «Солар».

В обзор уязвимостей в веб-приложениях вошла статистика по новым уязвимостям и proof-of-concept (пример кода или программа, показывающие, как работает уязвимость) в более чем 200 продуктах – популярных приложениях, сайтах и сетевом оборудовании. Информация получена из открытых источников: Telegram-каналов об информационной безопасности, статей исследователей безопасности и т.д. Всего за третий квартал эксперты Solar 4RAYS обнаружили 296 уязвимостей, что на 38% больше, чем в предыдущем квартале.

Так, что касается ИИ-сервисов, уязвимости были обнаружены в Aibox – платформе для работы с различными нейросетями, Liner – поисковой системе на основе искусственного интеллекта, Telegai – площадке для участия в ролевых играх с ИИ-персонажами, Deepy – ИИ-помощнике с открытым исходным кодом и Chaindesk – платформе для создания чат-бота ChatGPT AI для своего веб-сайта. Одна из исследованных уязвимостей позволяла злоумышленникам получать доступы к перепискам пользователей с ИИ в веб-сервисе Ai2 Playground – онлайн-платформе для создания и редактирования изображений с помощью ИИ.

По словам экспертов Solar 4RAYS, все уязвимости, найденные на площадках с применением ИИ, не являются сложными, а скорее связаны с тем, что многие из них еще находятся в стадии стартапов. Вероятно, что команды разработки пока что не уделили достаточно внимания обеспечению ИБ своих сетевых ресурсов.

Если рассматривать все найденные уязвимости в целом (с учетом ИИ-сервисов), то большинство из них (81%) имеют сетевой вектор – это значит, что их эксплуатация проходит через сетевые протоколы, например – HTTP, SSH, SMB и т.д. Из них 67% имели высокий уровень критичности, что на семь п.п. больше, чем в предыдущем квартале. Остальные уязвимости относятся к локальным, то есть располагаются на операционной системе или в приложении на пользовательском устройстве.

Виктор Урусов, Скала^р: Мы и до 2022 года успешно конкурировали с западными ПАК

Цифровизация

Среди общего числа уязвимостей 9% пришлось на платформу для создания сайтов WordPress и ее плагины. Еще 5% уязвимостей найдено в ИИ-сервисах, и столько же – в роутерах и другом сетевом оборудовании. 2% уязвимостей ИБ-специалисты нашли в библиотеках для Node.js – кроссплатформенной среды для запуска JavaScript вне браузера. Остальные уязвимости относятся к прочему ПО или оборудованию.

«Многие уязвимости в ИИ-решениях были связаны с типичными клиентскими проблемами, такими как XSS (внедрение вредоносного кода в веб-страницу) и IDOR (получение доступа к внутренним объектам приложения при изменении идентификатора (ID) URL-запроса). Подобные уязвимости нередко возникают при использовании искусственного интеллекта для генерации кода без последующей тщательной проверки и тестирования, который в отрасли называют «вайбкодингом». Можно предположить, что этот всплеск и был результатом повышенного ажиотажа вокруг нового течения в программировании. Поэтому при разработке приложений с элементами ИИ следует уделять особое внимание обработке и валидации пользовательского ввода — как на стороне клиента, так и на стороне сервера», — сказал Сергей Беляев, аналитик Solar 4RAYS, ГК «Солар».

На момент публикации большинство уязвимостей устранено. Информация о них будет использована для создания обновленных правил обнаружения в продуктах и сервисах «Солара».

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Юрий Драченин, «Контур.Эгида»: Контроль за сотрудниками со стороны ИБ не должен восприниматься как слежка

Новые высоты Microsoft. Обновление Windows 11 сломало систему так, что ее нельзя даже восстановить

CNews Analytics впервые опубликовал карты рынка ИТ-услуг и системной интеграции

Суперполезный копеечный расходник для ПК убивает процессоры, ломает кулеры и разъедает легкие пользователей

Российские промышленные компьютеры Blok сертифицированы для Аstra Linux 1.8

Хакеры массово перехватывали управление роутеров под Linux через «дыру» в Cisco

Конференции

CNews FORUM 2025: Информационные технологии завтра

CNews Awards 2025

Электронный документооборот и управление контентом
Показать еще

CNewsMarket

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

Техника

Лучшие бесплатные приложения для чтения на смартфоне: выбор ZOOM

Лучшие роботы-пылесосы стоимостью до 30 000 рублей: хиты продаж

Умные кухонные гаджеты для здорового питания: выбор ZOOM

Показать еще

Наука

Красные точки, которые назвали разрушителями Вселенной — замаскированные черные дыры?

Течет ли время на самом деле или это всего лишь иллюзия?

Идеальных мест для жизни в нашей Галактике больше, чем считалось — все дело в миграции звезд
Показать еще