Спрос на полностью автоматизированное тестирование безопасности ИИ-систем резко снизился. По данным исследования компании «Информзащита», в 2026 году лишь 9% организаций готовы полностью доверить пентесты ИИ-автоматизации — годом ранее таких было 29%. За 12 месяцев доля сторонников полного автономного тестирования сократилась на 20 процентных пунктов, тогда как число компаний, предпочитающих гибридную модель (автоматизация для некритичных активов и ручная проверка критичных), выросло на 22 процентных пункта — до 47%.
Причина снижения доверия — ограниченность автоматических средств. Они быстро находят известные ошибки конфигурации, проблемы с внешней поверхностью атаки и нарушения базовых политик, но неспособны учесть сложность современных ИИ-приложений. Поведение LLM зависит от системных инструкций, контекста диалога, версии модели, подключенных источников данных и прав агента. Уязвимость может проявиться только при определенной последовательности действий, которую невозможно получить одиночным тестовым запросом.
| Подход к пентесту | 2025 | 2026 |
|---|---|---|
| Полная автоматизация | 29% | 9% |
| Гибридная модель | 25% | 47% |
Разбивка по векторам уже зафиксированных ИИ-инцидентов подтверждает многогранность рисков. В 44% случаев причиной становился shadow ИИ — использование сотрудниками несанкционированных внешних инструментов с передачей чувствительных данных. По 41% пришлось на отравление данных и моделей, а также на небезопасную обработку ответов LLM. Уязвимости в цепочке поставок были названы в 35% инцидентов, prompt injection — в 34%, ошибки LLM и слабости векторных баз и эмбеддингов — в 32% каждый. Далее следуют чрезмерные полномочия агентов и утечки системных промптов — по 24%, дезинформация — 20%, неограниченное потребление ресурсов — 15%.
«Снижение доверия к полной автоматизации не означает отказа от ИИ-инструментов в пентесте. Компании увидели пределы их применимости: сканер способен быстро проверить большую поверхность атаки, но не всегда распознает многошаговую цепочку, где результат зависит от контекста диалога, прав агента, подключенных данных и логики бизнес-процесса. Для критичных ИИ-систем автоматизация должна сокращать время на рутинные проверки, а итоговую оценку риска должны давать специалисты, способные воспроизвести действия атакующего», — отметил Анатолий Песковский, директор Департамента наступательной безопасности «Информзащиты».
Наиболее показательный пример — prompt injection. В изолированной среде модель может корректно отклонять вредоносные инструкции, но изменить поведение после обработки специально подготовленного документа или сообщения из внешней системы. Аналогично проявляются риски избыточной агентности: модель получает доступ к почте, CRM, файловому хранилищу или корпоративному API, а ошибка в разграничении прав позволяет выполнить действие, которое не должно быть доступно. Для проверки таких сценариев нужно моделировать действия атакующего, тестировать обход защитных ограничений и анализировать бизнес-логику.
Автоматизация может обнаружить часть проблем, но не подтверждает безопасность всей цепочки — от источника данных до бизнес-действия, которое модель выполняет. В исследовании 78% команд сообщили, что сталкивались с пропуском критичных уязвимостей автоматизированными средствами. Переход на гибридную модель позволяет сочетать скорость сканирования с глубиной экспертного анализа, что особенно важно для ИИ-сервисов, где ошибка может находиться в связке между RAG-базой, внешним API и действиями агента.


