«Солар»: ИИ-сервисы лидируют по уровню критичности уязвимостей

По данным экспертов центра исследования киберугроз Solar 4RAYS группы компаний «Солар», в 1-м квартале 2026 года доля уязвимостей, связанных с ИИ-ассистентами, чат-ботами и другими сервисами, в сравнении с предыдущим кварталом выросла на 2 п.п. до 5%. При этом уровень критичности уязвимостей в них составляет 9,2 балла из 10 — это самый высокий показатель в сравнении с другими продуктами. Среди уязвимых чат-ботов — популярные сервисы ChatGPT, DeepSeek и Gemini.

В обзор уязвимостей веб-приложений вошла статистика по новым уязвимостям и proof-of-concept (PoC, пример кода или программа, показывающие, как работает уязвимость) в более чем 250 продуктах — популярных приложениях, сайтах и сетевом оборудовании. Информация получена из открытых источников: Telegram-каналов об информационной безопасности, статей исследователей безопасности и т.д.

Больше половины (60%) обнаруженных уязвимостей в ИИ-сервисах являются критическими, еще 26% относятся к высокой степени риска. Оставшаяся доля недостатков пока находится в стадии определения уровня критичности. При этом средний уровень критичности недостатков в ИИ-сервисах на 1-2 балла выше, чем в других продуктах.

К примеру, одна из уязвимостей позволяет злоумышленникам обойти политики безопасности в большинстве популярных чат-ботов — ChatGPT 4.0, DeepSeek v3.2, Gemini 3 Pro и других. В результате такие действия способны существенно снизить эффективность работы ИИ‑сервисов, потенциально привести к утечке персональных данных или позволить злоумышленникам генерировать запрещённый политиками сервиса контент. Также обнаружены уязвимости в популярных инструментах, связанных с построением ИИ-агентов: langchain, Langflow, n8n и др.

Еще один тренд — появление сканеров уязвимостей для ИИ-сервисов. Например, для популярного автономного ИИ-агента OpenClaw с помощью сканера собрано более 522 уязвимостей, и база продолжает регулярно обновляться. На этом фоне эксперты даже говорят о «кризисе безопасности» в сервисе. Также появился новый тип атаки — ClawJacked, который нацелен на перехват управления данной платформой от имени пользователя.

Сергей Беляев

эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар»

«Пока ИБ-специалисты по всему миру находят сравнительно немного уязвимостей, связанных с ИИ-сервисами, но большинство из таких брешей имеют рекордно высокий уровень критичности, что может привести к утечке данных пользователей и другим негативным последствиям. Именно поэтому ИИ-сервисы требуют особого внимания с точки зрения кибербезопасности. Особенно это критично для ИИ-агентов, которые имеют доступ к выполнению операций на сервере или рабочей станции пользователя. К таким операциям могут относиться выполнение кода, развертывание окружения и контейнеров, запуск задач в планировщике cron и так далее. При этом атаковать ИИ-агентов пока что не так сложно. Для атаки на некоторых из них злоумышленнику достаточно открытия вредоносной страницы в браузере».

Эксперты «Солара» также отмечают еще один риск: разработчики приложений нередко пытаются выявить уязвимости в ИИ-сервисах с помощью публичных LLM, например, ChatGPT или Deepseek. Основной риск заключается в том, что в этом случае ИИ-инструменты на этапе триажа и кодфикса не «считают» уязвимости в ИИ-сервисах реальными уязвимостями, которые важно устранить. Поэтому возрастает вероятность циклического накопления уязвимостей в коде. Более того, публичные LLM пропускают от 40% до 50% уязвимостей в ПО, что еще больше увеличивает риски для бизнеса, пользователей и существенно повышает стоимость исправления уязвимостей на более поздних этапах разработки и эксплуатации ПО.