Спрос на полностью автоматизированное тестирование безопасности ИИ-систем резко снизился. По данным исследования компании «Информзащита», в 2026 году лишь 9% организаций готовы полностью доверить пентесты ИИ-автоматизации — годом ранее таких было 29%. За 12 месяцев доля сторонников полного автономного тестирования сократилась на 20 процентных пунктов, тогда как число компаний, предпочитающих гибридную модель (автоматизация для некритичных активов и ручная проверка критичных), выросло на 22 процентных пункта — до 47%.

Причина снижения доверия — ограниченность автоматических средств. Они быстро находят известные ошибки конфигурации, проблемы с внешней поверхностью атаки и нарушения базовых политик, но неспособны учесть сложность современных ИИ-приложений. Поведение LLM зависит от системных инструкций, контекста диалога, версии модели, подключенных источников данных и прав агента. Уязвимость может проявиться только при определенной последовательности действий, которую невозможно получить одиночным тестовым запросом.

Подход к пентесту20252026
Полная автоматизация29%9%
Гибридная модель25%47%

Разбивка по векторам уже зафиксированных ИИ-инцидентов подтверждает многогранность рисков. В 44% случаев причиной становился shadow ИИ — использование сотрудниками несанкционированных внешних инструментов с передачей чувствительных данных. По 41% пришлось на отравление данных и моделей, а также на небезопасную обработку ответов LLM. Уязвимости в цепочке поставок были названы в 35% инцидентов, prompt injection — в 34%, ошибки LLM и слабости векторных баз и эмбеддингов — в 32% каждый. Далее следуют чрезмерные полномочия агентов и утечки системных промптов — по 24%, дезинформация — 20%, неограниченное потребление ресурсов — 15%.

«Снижение доверия к полной автоматизации не означает отказа от ИИ-инструментов в пентесте. Компании увидели пределы их применимости: сканер способен быстро проверить большую поверхность атаки, но не всегда распознает многошаговую цепочку, где результат зависит от контекста диалога, прав агента, подключенных данных и логики бизнес-процесса. Для критичных ИИ-систем автоматизация должна сокращать время на рутинные проверки, а итоговую оценку риска должны давать специалисты, способные воспроизвести действия атакующего», — отметил Анатолий Песковский, директор Департамента наступательной безопасности «Информзащиты».

Наиболее показательный пример — prompt injection. В изолированной среде модель может корректно отклонять вредоносные инструкции, но изменить поведение после обработки специально подготовленного документа или сообщения из внешней системы. Аналогично проявляются риски избыточной агентности: модель получает доступ к почте, CRM, файловому хранилищу или корпоративному API, а ошибка в разграничении прав позволяет выполнить действие, которое не должно быть доступно. Для проверки таких сценариев нужно моделировать действия атакующего, тестировать обход защитных ограничений и анализировать бизнес-логику.

Автоматизация может обнаружить часть проблем, но не подтверждает безопасность всей цепочки — от источника данных до бизнес-действия, которое модель выполняет. В исследовании 78% команд сообщили, что сталкивались с пропуском критичных уязвимостей автоматизированными средствами. Переход на гибридную модель позволяет сочетать скорость сканирования с глубиной экспертного анализа, что особенно важно для ИИ-сервисов, где ошибка может находиться в связке между RAG-базой, внешним API и действиями агента.