Код как материал: что происходит с рынком кибербезопасности в эпоху ИИ-агентов

Habr AI·18 апр.·3 минРоссияКод

Одиночка с ИИ-агентами за месяц и несколько сотен долларов собирает то, на что раньше уходила команда из 25 человек и два года — это уже производственная реальность, а не прогноз. Автор манифеста, опубликованного на Habr, разбирает, какие сегменты рынка ИБ исчезнут, какие превратятся в зомби и кто выживет.

Кратко

—Код перестал быть конкурентным преимуществом — теперь ценность в данных, доверии и дистрибуции.
—Аналитик SOC и сигнатурописец названы последним поколением профессии: роль не автоматизируется, а исчезает.
—Выживают три архетипа: дорогая инфраструктура, узловая точка с контролем трафика и «мозги в коробке» для B2B/B2G.
—AV/EDR, NGFW и SIEM останутся как инфраструктура по требованию регуляторов, но умрут как самостоятельные продукты.
—Окно для создания доверенной агентной платформы для корпоративного и госсектора автор оценивает в 2–3 года.

Глоссарий · 7 терминов▾

ИИ-агент: Программа на основе языковой модели, способная самостоятельно выполнять многошаговые задачи: писать код, анализировать данные, взаимодействовать с внешними сервисами без постоянного участия человека.
pay-by-volume: Бизнес-модель, при которой клиент платит за объём обработанных данных или событий, — характерна для SIEM, DLP и ряда других ИБ-продуктов.
SIEM: Система сбора, хранения и корреляции событий безопасности из разных источников, используется для обнаружения инцидентов и соответствия требованиям регуляторов.
EDR: Класс решений для обнаружения угроз и реагирования на конечных устройствах (ноутбуках, серверах) в режиме реального времени.
NGFW: Межсетевой экран следующего поколения, который помимо фильтрации пакетов умеет анализировать приложения, пользователей и контент трафика.
compliance: Соответствие продукта или процесса требованиям регуляторов, отраслевых стандартов и внутренних политик организации.
scrubbing: Очистка сетевого трафика от вредоносных пакетов при DDoS-атаке на специализированных узлах до его доставки к целевой инфраструктуре.

Автор анонимного манифеста на Habr формулирует тезис жёстко: код перестал быть ценностью и стал материалом. Сравнение показательное — как ракушки каури когда-то были валютой, а потом превратились в песок на пляже, так и написание программного кода за десяток лет прошло путь от редкого навыка до общедоступного ресурса. Одиночка с ИИ-агентами и бюджетом в несколько сотен долларов сегодня собирает за месяц то, на что прежде уходила команда из 25 человек и два года работы.

Из этого следует неудобный вывод для всей отрасли: ценность вендора больше не определяется умением писать продукт. Писать умеют все. Конкурентное преимущество теперь — это данные, доверие, дистрибуция и способность превращать зоопарк возможностей в один работающий продукт. Классический продуктовый вендор на 200–2000 человек с трёхлетним планом развития и продажами через дистрибьютора, по оценке автора, вымирает первым: недостаточно гибок для конкуренции с одиночками и недостаточно капиталоёмок для конкуренции с инфраструктурными игроками.

Автор выделяет три архетипа, которые выживут. Первый — дорогая инфраструктура: облака, DDoS-защита на магистральном уровне, сертифицированное железо. Агенты удешевляют софт, но не удешевляют дата-центры, пиринг и scrubbing в десятки терабит. Чем выше барьер по капитальным затратам и плотнее регуляторная обвязка, тем устойчивее ниша. Второй архетип — узловая точка, через которую идут трафик, identity и политики. В мире дешёвого кода сама логика копируется за неделю, но дольше живёт тот, кто сидит в узле — там, где решение не только принимается, но и применяется. Третий — «мозги в коробке» для корпоративного и государственного сектора: доверенная платформа, в которой агенты уже обвязаны identity, compliance, аудитом, страховкой и сертификацией. Enterprise и госсектор не купят агентов россыпью и не примут схему «принесите свой API-ключ» — ни регулятор, ни совет директоров, ни страховщик. Они купят коробку, за которую можно засудить. Окно для занятия этой ниши автор оценивает в 2–3 года, после чего рынок закроется несколькими победителями на страну.

Аналитик SOC и сигнатурописец названы последним поколением профессии: роль не автоматизируется, а исчезает.

Отдельная категория — то, что автор называет зомби. AV/EDR, NGFW и SIEM экономически мертвы, но клинически ещё дышат. Классический сигнатурный антивирус технически устарел десять лет назад, однако живёт, потому что регулятор требует, страховка требует, регламент требует. Уберите регулятора — и 30% рынка испарится за год. SIEM автор характеризует как «свалку логов с регулярными выражениями, продаваемыми как экспертная экспертиза»: бизнес-модель pay-by-volume фундаментально конфликтует с агентами, которые по определению сокращают объём поступающих данных. Либо SIEM переизобретается как outcome-based модель — «плачу за пойманный инцидент» — либо превращается в мейнфрейм 2005 года: ещё нужен банкам и госам, но это инерция, а не будущее.

Главным оставшимся барьером автор называет не код, а стоимость внедрения. Агент напишет анализатор и натренирует детектор. Но впихнуть это в корпоративный контур — три месяца минимум: закупка, интеграция, SLA, приёмка по регламенту, обучение операторов, адаптация под конкретный стек. Отсюда — идея «Steam для ИБ»: среды, в которой внедрение нового модуля занимает два клика, а не квартальный проект. Identity, SLA, поток данных и аттестация наследуются от платформы. Кто построит такой слой первым в регулируемом контуре — забирает не рынок одного продукта, а право быть точкой входа для всех остальных. В России, Китае, Индии, Бразилии и на Ближнем Востоке каждый крупный рынок, по прогнозу автора, получит своих 10–15 региональных чемпионов.

Получать анонсы в Telegram

Ежедневный дайджест лучших материалов об ИИ

По теме