Три четверти организаций — в рамках двух новых исследований — призналось в распространении уязвимого кода, в то время как ИИ-риски в цепочках поставок только растут.
21 мая эксперты из Checkmarx опубликовали новые данные, показывающие, что большинство компаний «часто» или «иногда» развёртывает код, который заведомо уязвим. Есть тенденция к снижению по сравнению с прошлым годом, но показатель остаётся слишком высоким в условиях, когда всё более мощные ИИ-модели позволяют хакерам находить и использовать бреши с постоянно возрастающей эффективностью.
По утверждению аналитиков, действие, на которое в 2018 году уходило в среднем 840 дней, в 2026-м займёт менее двух, а к 2028 году время эксплуатации и вовсе достигнет одной минуты. Вице-президент Checkmarx Эран Кинсбрунер обозначил главного виновника: «Проблема с накопившимися задачами больше не связана с процессом, а стала математической. Код, сгенерированный искусственным интеллектом, опережает все существующие модели ручного исправления ошибок».
Упомянутые риски недавно нашли отражение и в других источниках. На днях представители Verizon в своём отчёте о расследовании утечек данных сообщили, что эксплуатация уязвимостей составила 31% от первоначального доступа к данным в результате утечек за последние 12 месяцев — по сравнению с 20% годом ранее. По версии авторов, в основе роста может быть нейросетевой фактор: «Средний злоумышленник использовал помощь ИИ в 15 различных задокументированных методах, при этом некоторые злоумышленники использовали до 40 или 50 методов».
Эти выводы согласуются с отдельным исследованием страховой компании QBE, которое показало, что 75% британских компаний обеспокоено применением ботов поставщиками и подрядчиками. Они уже находятся в состоянии повышенной готовности к возможным инцидентам в цепочке поставок. Согласно оценке экспертов, доля респондентов, столкнувшихся с кибератакой за последние 12 месяцев, выросла с 53% в 2025 году до 59% в 2026-м. В этом году 22% заявило, что «все или большинство» атак, которым они подверглись, были связаны с поставщиком.
Однако, по информации QBE, несмотря на свои опасения, только 28% организаций предприняло шаги по оценке или аудиту ИИ-систем своих сторонних поставщиков и лишь 35% имеет формальную политику использования или управления нейросетями.
Усам Оздемиров
.jpg)
