Сильный код: применение нейросетей сократит утечки данных в 10 раз
Утечки данных из приложений сократятся в 10 раз благодаря нейросетям. Отечественные разработчики уже внедряют ИИ для автоматизированного поиска уязвимостей в российских приложениях, рассказали «Известиям» участники рынка. Нейросеть ищет слабые места в коде, повышает эффективность поиска угроз и в пять раз ускоряет проверки. Однако эксперты отмечают, что искусственный интеллект также не застрахован от ошибок, поэтому участие человека остается необходимым.
Как ИИ поможет сократить утечки данных россиян
Отечественные разработчики начали внедрять искусственный интеллект для автоматизированного поиска уязвимостей в российских приложениях, рассказали «Известиям» участники рынка. Такой подход постепенно становится не просто технологическим трендом, а важной частью стратегии по повышению уровня кибербезопасности.
Как рассказал старший управляющий директор AppSec Solutions Антон Башарин, сегодня большие языковые модели (LLM) умеют качественно находить уязвимости, они не просто указывают на потенциально опасные участки, а способны детально объяснить, в чем именно заключается проблема и какие изменения помогут устранить риск.
— В реальных проектах сочетание безопасной разработки и автоматизированного анализа резко снижает количество критических уязвимостей в продуктах. При таком подходе отчеты белых хакеров показывают существенно меньше проблем по сравнению с продуктами без таких практик, — сказал эксперт.
По его словам, с осторожным оптимизмом можно предположить сокращение утечек примерно в 10 раз через несколько лет, но только при условии комплексного подхода: автоматический ИИ-анализ, процессы безопасной разработки и контроль над подрядчиками. Так будут быстрее выявляться бреши, сократятся критические баги — а значит, станет меньше утечек.
Автоматизация поиска уязвимостей при помощи нейросетей способна не только существенно снизить количество инцидентов, связанных с утечкой данных, но и изменить саму архитектуру подходов к обеспечению безопасности, сказал «Известиям» член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. В перспективе нескольких лет развитие подобных технологий может привести к созданию национальной платформы мониторинга уязвимостей, работающей в режиме реального времени и интегрированной с инфраструктурой госорганов и крупных корпораций, полагает он.
Однако искусственный интеллект также не застрахован от ошибок, поэтому участие человека остается необходимым — специалист должен перепроверять результаты работы ИИ, чтобы обеспечить точность и надежность выводов, добавил депутат.
Мобильные приложения остаются одной из самых уязвимых сфер для киберпреступников. Так, например, недавно из популярного сервиса «Tea», где женщины анонимно делятся отзывами о мужчинах, произошла утечка данных: из-за открытой базы в Сеть попали десятки тысяч изображений и документов пользователей.
Как бизнес внедряет ИИ для проверки кода
Руководитель по информационной безопасности «Авито» Андрей Усенок рассказал «Известиям», что компания уже использует генеративный ИИ в системе защиты кода. Новое решение автоматически выявляет потенциально чувствительные данные — пароли к базам данных, API-ключи и токены доступа, которые могут представлять угрозу безопасности, если окажутся в открытом коде компании. По его словам, система обнаруживает 99% всех угроз и позволяет мгновенно удалять найденные данные из кода, что экономит до 25% рабочего времени специалиста по безопасности.
Похожие подходы развиваются и в других отечественных IT-компаниях. Так, в Yandex Cloud в рамках сервиса Security Deck также применяются решения на базе искусственного интеллекта, которые помогают выявлять угрозы утечки данных, рассказал директор по безопасности платформы Евгений Сидоров. ИИ обнаруживает персональные, платежные и другие чувствительные данные в публичных хранилищах, предлагает инструкции по устранению рисков — например, перемещение файлов или включение шифрования, добавил он.
Активно применяют ИИ и в МТС — компания использует различные инструменты для проверки компьютерного кода: ИИ-ассистенты программиста помогают находить уязвимости и ошибки с высокой точностью, а также автоматически создавать тесты для проверки кода, рассказали в пресс-службе MWS AI (входит в МТС Web Services). Для работы с большими языковыми моделями здесь используется дополнительный модуль — так называемый цензор. Он автоматически проверяет пользовательские запросы и ответы модели, обеспечивая безопасное взаимодействие с ИИ, заключили в компании.
В свою очередь, «Лаборатория Касперского» намерена выйти на рынок систем по управлению уязвимостями в 2026 году. Планируется, что AI-функциональность решения дополнит мультиагентная GenAI-система «Сбера» для автоматизации проверки защищенности инфраструктуры.
Антон Башарин из AppSec Solutions считает, что использование LLM в безопасной разработке пока связано с определенными сложностями: для эффективной работы требуется большой объем вычислительных ресурсов, предварительная подготовка и нормализация данных. Кроме того, такие системы иногда работают медленнее классических сканеров.
