На фоне стремительного внедрения искусственного интеллекта в корпоративную IT-среду усиливается парадокс: те же системы, что предлагают для защиты от киберугроз, сами оказываются источником уязвимостей. При этом разработчики всё чаще классифицируют такие проблемы не как баги, а как «ожидаемое поведение».
Этот подход становится системным. Бизнесу предлагают использовать ИИ для обнаружения атак, автоматизации защиты и управления инфраструктурой. Однако, когда уязвимости обнаруживаются внутри самих инструментов, они нередко остаются без полноценного исправления — максимум сопровождаются обновлениями документации.
Показательный пример — недавнее исследование, в котором продемонстрирована возможность взлома популярных ИИ-агентов, интегрированных с GitHub Actions. Речь идёт о Claude Code Security Review от Anthropic, Gemini CLI Action от Google и GitHub Copilot от Microsoft. Уязвимости позволяли злоумышленникам похищать API-ключи и токены доступа.
Компании признали находки и выплатили вознаграждения, однако реакция оказалась ограниченной. Anthropic выплатила $100 и обновила раздел «соображений безопасности», Google — $1,337, а GitHub после первоначального отказа признала проблему и выплатила $500. При этом ни одна из компаний не присвоила уязвимостям официальные идентификаторы CVE (Common Vulnerability Exposures Scoring, система оценки, которая присваивает уязвимости балл опасности от 0 до 10) и не выпустила публичные предупреждения.
Ещё более серьёзный случай связан с архитектурой протокола Model Context Protocol (MCP), разработанного Anthropic. По оценкам исследователей, заложенный в нём принцип работы может «из коробки» ставить под угрозу до 200 тысяч серверов. Несмотря на многочисленные обращения, компания отказалась менять базовый механизм, заявив, что он «работает так, как задумано».
Проблема усугубляется тем, что уязвимость носит системный характер. Хотя для отдельных инструментов уже выпущено не менее десяти CVE с высоким и критическим уровнем опасности, корневая причина остаётся неизменной. По словам исследователей, её устранение могло бы снизить риски для программ с суммарной загрузкой более 150 млн раз.
Фактически ответственность за безопасность таких систем перекладывается на разработчиков и корпоративных пользователей. Это касается всех, кто использует SDK MCP или внедряет AI-инструменты в свои продукты и инфраструктуру.
Ситуация разворачивается на фоне отсутствия чётких регуляторных требований. В США по-прежнему нет полноценной федеральной системы контроля за безопасностью ИИ-разработок. Это происходит даже несмотря на заявления самих компаний о потенциальной опасности своих технологий: например, Anthropic ранее отмечала, что одна из её моделей слишком эффективна в поиске уязвимостей, чтобы быть открыто доступной.
Исследователи отмечают, что индустрия столкнулась с фундаментальной проблемой: сложные, недетерминированные ИИ-системы трудно сделать полностью безопасными. Однако текущая практика, при которой риски признаются, но не устраняются, подрывает доверие к технологиям.
По мере роста зависимости бизнеса от ИИ вопрос ответственности за его поведение становится ключевым. И если подход «это не баг, а особенность» сохранится, то последствия могут выйти далеко за пределы отдельных инцидентов безопасности.
