ENGИскусственный интеллект (ИИ) управляет транспортными потоками и производством, ставит диагнозы и пишет музыку. Отдельное направление — ИИ в цифровой безопасности: умные инструменты помогают разработчикам не только писать, но и проверять код, выявлять хакерские атаки и в целом снижают рутинную нагрузку на ИБ-специалистов. Но только ли выгоду получит отрасль от использования ИИ или технология влечет и новые риски? Положение дел обсудили участники дискуссии «Безопасная разработка без ИИллюзий: что реально работает в бизнесе?» (прошла в рамках премии «Security UP: Безопасность начинается с кода» Ассоциации ФинТех, группы компаний «Солар» и сообщества FinDevSecOps).
Защита или нападение?
Во всем мире ежегодно растет количество кибератак, и принято считать, что инструменты искусственного интеллекта позволят снизить значимость проблемы. ИИ-решения действительно упрощают выявление уязвимостей, лучше анализируют большие массивы данных, а на инциденты реагируют быстрее человека. Однако искусственный интеллект может стать и ИБ-угрозой, и даже средством нападения.
К примеру, злоумышленники могут использовать ИИ в рамках подготовки кибератак — быстрее собирать с помощью умных алгоритмов досье на компанию-жертву, проще находить в сети взломанные пароли, токены, анализировать выступления CTO.
«У хакера в скором времени будет лежать папочка на компанию, которую он захочет взломать», — прогнозирует Виктор Бобыльков, директор по кибербезопасности MTS Web Services.
Способность ИИ выявлять скрытые уязвимости тоже имеет последствия. В ИТ-инфраструктуре может быть тысяча уязвимостей, каждую теоретически можно эксплуатировать. И в чьих руках окажется инструмент для обнаружения, вопрос открытый. Так, новая языковая модель Claude Mythos Preview ищет и эксплуатирует ранее неизвестные уязвимости в популярных операционных системах, браузерах и криптографических библиотеках, причем полностью автономно.
«Это создает фундаментальный риск для всей информационной безопасности. Раньше нас пугали квантовыми вычислениями, но оказалось, что это “детский сад”», — поясняет Сергей Демидов, заместитель председателя правления по ИБ ПАО «Московская биржа».
Проверь вайбкодера
Искусственный интеллект плотно используют для создания программного кода: более 90% разработчиков в США применяют ИИ-инструменты на ежедневной основе.
«ИИ хорошо пишет код, пишет много и, в принципе, умеет его проверять и искать уязвимости. Есть инструмент для поиска уязвимости в коде — статический анализ, ИИ его в скором времени может полностью заменить», — отмечает Виктор Бобыльков.
Однако практика формирует и новые вызовы информационной безопасности — ведь нет никаких гарантий, что сгенерированный ИИ код не будет содержать ошибок.
«Когда разработчики пишут код с помощью искусственного интеллекта, создаются новые паттерны, уязвимости, которые обычные сканеры сами по себе могут не сразу обнаружить», — поясняет Федор Герасимов, DevSecOps Tech Lead, ИТ-холдинг Т1.
Чтобы исключить подобные риски, необходимо проводить дополнительную аналитику, уточняет эксперт, более того, перестроить процесс со стороны безопасности, и для всего этого нужны квалифицированные специалисты, разбирающиеся в ИИ.
Решение — за человеком
Безусловно, многие задачи с помощью ИИ решить можно проще и быстрее. Однако важно помнить, что искусственный интеллект — это скорее идеальный исполнитель задач.
«Искусственный интеллект — это инструмент, которым нужно уметь правильно пользоваться. Необходимо знать его сильные и слабые стороны, понимать ограничения — что он умеет, а что не умеет», — говорит Юрий Шабалин, старший директор по развитию ИИ-технологий ГК Swordfish Security.
В те же анализаторы безопасности приложений ИИ вполне может встроить в целях оптимизации и упрощения операций. Но финальное решение, что считать уязвимостью, всегда остается за человеком, отмечает Владимир Высоцкий, руководитель отдела по развитию бизнеса ПО Solar appScreener.
«Решение принимает всегда человек. И классический SAST-анализ всегда должен стоять за SAST-анализом, который провел ИИ. Потому что искусственный интеллект лучше еще и перепроверить», — уточняет Владимир Высоцкий.
Будет ли экономия
Внедрение ИИ часто связывают с перспективой снижения расходов, в том числе на штат специалистов, место которых займут «умные» алгоритмы. Однако пока об экономии из-за ИИ-решений говорить рано, более того, их использование и вовсе оборачивается для бизнеса дополнительными затратами. Например, только годовой ФОТ команды по безопасной разработке — это десятки рублей, а внедрение в работу специализированных ИИ-инструментов только добавит затрат.
«Большинство финансовых директоров удивляются, почему с внедрением ИИ растут и расходы. Но разработчикам платится зарплата, на ИИ покупается подписка, а затем разработчик тратит токены (внутренняя валюта для оплаты запросов нейросети. — Ред.) искусственного интеллекта, и тратит их много. Такой разработчик обходится компании даже дороже, чем до внедрения искусственного интеллекта», — отмечает Виктор Бобыльков.
Не приводит пока внедрение ИИ и к сокращению штата. Рост того же вайбкодинга, увеличение объемов кода ставит вопрос о найме новых людей, дополнительных AppSec-специалистов.
«Вопрос, где этих людей брать, и вопрос, сколько они будут стоить», — напоминает Владимир Высоцкий.
«Фундаментальная проблема внедрения ИИ в мире заключается в том, что реальной экономии в деньгах не происходит. Кажется, что пока эффективность ИИ неизмерима в деньгах, она скорее измерима в эмоциях», — резюмирует Сергей Демидов.
