11 мая 2026 года Google опубликовал нечто более тревожное, чем любой полицейский рапорт: первое задокументированное в истории свидетельство того, что преступная группа использовала искусственный интеллект для разработки эксплойта класса zero-day. Команда Google Threat Intelligence Group (GTIG) идентифицировала Python-код эксплойта и немедленно установила его происхождение: избыточно дидактические docstrings, несуществующий CVSS-балл, структура кода настолько симметричная и «чистая», что ни один живой разработчик не написал бы её именно так. ИИ подписал собственную работу. Атака была направлена против популярного open-source инструмента веб-администрирования и позволяла любому, у кого есть действующие учётные данные, обойти двухфакторную аутентификацию. Она не достигла цели: Google совместно с вендором успел закрыть уязвимость до запуска кампании.
Джон Халтквист (John Hultquist), главный аналитик GTIG, высказался без обиняков: «Бытует ошибочное мнение, что гонка уязвимостей на основе ИИ ещё впереди. Реальность такова: она уже началась.» И добавил самое неприятное: «На каждый zero-day, который мы можем отследить до ИИ, вероятно, приходятся ещё многие, о которых мы не знаем.»
Как Google распознал код, написанный ИИ
Иными словами, речь шла не о классическом типе уязвимости, который ищут автоматические сканеры. Не о memory corruption, не об ошибке санации входных данных. Это была семантическая логическая ошибка: захардкоженное допущение о доверии, которое противоречило логике аутентификации приложения. Традиционные сканеры такого не видят: они ищут сбои, sink-точки, повреждение памяти. Не умеют сопоставлять замысел разработчика с реализацией. Большие языковые модели умеют. Они способны коррелировать намерение с кодом, находить противоречия и обнаруживать скрытые логические ошибки, которые любой автоматизированный инструмент пропустит.
Атакующего выдал стиль. Python-код содержал раздутые комментарии, как будто модель объясняла каждую строку студенту. В нём был выдуманный CVSS-балл с несуществующим номером версии из баз CVE. Структура кода была слишком аккуратной и симметричной: реальный разработчик неизбежно прерывал бы её плохо названными переменными и комментариями на нескольких языках. GTIG с высокой степенью уверенности установил, что модель ИИ помогала как при обнаружении уязвимости, так и при её превращении в оружие. Использованная модель не была Gemini и не была Claude Mythos, моделью Anthropic, заблокированной в апреле 2026 года именно потому, что она находила критические уязвимости с неприемлемой скоростью. Предполагается использование OpenClaw или эквивалентной модели.
Не изолированный инцидент: общая картина из отчёта GTIG
Случай с zero-day лишь одна точка на более широкой карте. Отчёт GTIG от 11 мая 2026 года, согласно данным самой Google, фиксирует целую экосистему атак с использованием ИИ, охватывающую как государственных акторов, так и криминальные структуры.
APT45, северокорейская военная группа, отправляет «тысячи повторяющихся промптов» языковым моделям для рекурсивного анализа CVE и валидации proof-of-concept, выстраивая арсенал эксплойтов промышленного масштаба, который был бы оперативно невозможен без ИИ. UNC2814, актор, связанный с Китаем, использует технику джейлбрейка «экспертной персоны» для поиска уязвимостей удалённого выполнения кода в прошивке TP-Link и протоколах OFTP через Gemini. APT27, также связанный с Китаем, применял Gemini для разработки приложения сетевого управления, маршрутизирующего трафик через резидентские IP-адреса.
На криминальном фронте российские группы распространяли семейства вредоносного ПО CANFAIL и LONGSTREAM, начинённые AI-сгенерированным кодом в качестве паддинга для запутывания аналитиков. Отдельно стоит PromptSpy: Android-бэкдор, идентифицированный ESET, который напрямую обращается к Gemini API для автономной навигации по заражённому устройству, интерпретации экрана в реальном времени и определения следующих действий. Самостоятельно. Без телеуправления со стороны атакующего.
AI-Assisted Attack Timeline 2026
Как хакеры используют ИИ для разработки эксплойтов?
Задокументированный GTIG процесс состоит из трёх этапов. На первом атакующий предоставляет модели исходный код целевой системы или публичную документацию и просит выявить возможные поверхности логических атак, а не только классические (переполнение буфера, инъекции).
Большие языковые модели читают код как разработчик: понимают замысел, сопоставляют его с реализацией и находят точки расхождения. На втором этапе модель генерирует proof-of-concept на Python: структурированный, прокомментированный и работающий код. Единственное отличие от написанного человеком состоит в том, что комментарии слишком дидактичны, а CVSS-балл выдуман.
На третьем этапе атакующий тестирует PoC в контролируемых средах, при необходимости использует агентные инструменты вроде OpenClaw для автоматизации валидации и готовит финальный пейлоад. Всё это занимает часы, а не недели. APT45 применяет именно такой конвейер: тысячи повторяющихся промптов параллельно анализируют CVE и автоматически валидируют PoC. Операционные издержки падают, масштаб растёт. Для понимания того, как эта динамика пересекается с ИИ-агентами, уже действующими автономно в сфере криптовалют, ключевым связующим звеном является LiteLLM.
LiteLLM, криптокошельки и риск, который многие ещё не осознали
Фактически, liteLLM, это библиотека, соединяющая программные приложения с провайдерами языковых моделей. Если вы используете ИИ-агент для управления биржей, кошельком, мониторингом портфеля или любой другой системой, взаимодействующей с криптовалютными API, вероятность того, что LiteLLM находится в этой цепочке, весьма высока.
В конце марта 2026 года группа TeamPCP скомпрометировала библиотеку через отравленные PyPI-пакеты. Похититель учётных данных SANDCLOCK извлёк ключи AWS и токены GitHub напрямую из сборочных окружений. Те, кто интегрировал скомпрометированную версию LiteLLM в свои системы, потенциально раскрыли API-ключи бирж, вебхуки и все секреты, настроенные в среде CI/CD. По описанию GTIG, это становится устойчивой схемой: фронтирные модели трудно скомпрометировать напрямую, но их коннекторы, обёртки и API-слои уязвимы. Для тех, кто управляет ИИ-агентами, совершающими автономные криптовалютные платежи, цепочка поставок зависимостей ИИ превратилась в такую же часть поверхности атаки, как и сам кошелёк.
7 мая МВФ опубликовал прямое заявление: кибербезопасность в эпоху ИИ является вопросом системной финансовой стабильности, а не только технической проблемой, делегируемой IT-отделам. NIST уже стандартизировал первые постквантовые алгоритмы. Google использует Big Sleep и CodeMender для автоматического поиска и закрытия уязвимостей до того, как это сделают атакующие. Следующее обновление GTIG AI Threat Tracker, основанное на данных третьего квартала 2026 года, покажет, насколько выросли возможности с мая. Халтквист ждёт его как данные, которые изменят характер дискуссии. Гонка началась раньше, чем кто-либо предполагал.
