Специалисты центра расследования киберугроз Solar 4RAYS, входящего в группу компаний «Солар», зафиксировали новую тенденцию: в третьем квартале 2025 года 5% всех найденных уязвимостей приходились на сервисы с элементами искусственного интеллекта. Ранее подобные случаи практически не встречались. Эксперты связывают такой рост с распространением практики, получившей название «вайб-кодинг» — это подход, при котором разработчики используют нейросети для генерации программного кода, не проверяя его вручную и не проводя тестирование.
Аналитики Solar 4RAYS изучили более 200 цифровых продуктов, включая веб-приложения, сайты и сетевое оборудование. За отчетный период было выявлено 296 уязвимостей — на 38% больше по сравнению со вторым кварталом. Из них 81% связаны с сетевым вектором атаки: их можно эксплуатировать через протоколы вроде HTTP, SSH, SMB и других. Критическими были признаны 67% обнаруженных уязвимостей — этот показатель вырос на 7%.
Слабые места были найдены в таких ИИ-платформах, как Aibox, Liner, Telegai, Deepy и Chaindesk. В одном из инцидентов, обнаруженном на платформе Ai2 Playground, баг предоставлял доступ к истории общения пользователей с чат-ботом.
В Solar 4RAYS уточнили, что значительная часть уязвимостей оказалась достаточно примитивной. Это объясняется тем, что многие сервисы на базе ИИ находятся на ранних стадиях развития и уделяют недостаточно внимания вопросам информационной безопасности.
Кроме ИИ-сервисов, 9% всех обнаруженных уязвимостей пришлись на WordPress, по 5% — на сетевое оборудование и библиотеки для Node.js.
Аналитики Solar 4RAYS изучили более 200 цифровых продуктов, включая веб-приложения, сайты и сетевое оборудование. За отчетный период было выявлено 296 уязвимостей — на 38% больше по сравнению со вторым кварталом. Из них 81% связаны с сетевым вектором атаки: их можно эксплуатировать через протоколы вроде HTTP, SSH, SMB и других. Критическими были признаны 67% обнаруженных уязвимостей — этот показатель вырос на 7%.
Слабые места были найдены в таких ИИ-платформах, как Aibox, Liner, Telegai, Deepy и Chaindesk. В одном из инцидентов, обнаруженном на платформе Ai2 Playground, баг предоставлял доступ к истории общения пользователей с чат-ботом.
В Solar 4RAYS уточнили, что значительная часть уязвимостей оказалась достаточно примитивной. Это объясняется тем, что многие сервисы на базе ИИ находятся на ранних стадиях развития и уделяют недостаточно внимания вопросам информационной безопасности.
Кроме ИИ-сервисов, 9% всех обнаруженных уязвимостей пришлись на WordPress, по 5% — на сетевое оборудование и библиотеки для Node.js.
«Многие уязвимости связаны с классическими проблемами вроде XSS и IDOR. Они часто возникают, когда код создаётся искусственным интеллектом без ручной проверки. В индустрии это называют вайб-кодингом — программированием “на вдохновении”, без тестов и валидации данных», — комментирует Сергей Беляев, аналитик Solar 4RAYS.
Он также отметил, что возросший интерес к применению ИИ в программировании стал одним из факторов увеличения числа подобных уязвимостей. В качестве рекомендаций разработчикам предлагается сосредоточить внимание на безопасной обработке пользовательских данных и всесторонней проверке кода как на клиентской, так и на серверной стороне.
По информации Solar 4RAYS, большая часть выявленных уязвимостей уже была устранена. Полученные данные будут использованы для актуализации систем обнаружения угроз в продуктах и сервисах, выпускаемых группой компаний «Солар».
По информации Solar 4RAYS, большая часть выявленных уязвимостей уже была устранена. Полученные данные будут использованы для актуализации систем обнаружения угроз в продуктах и сервисах, выпускаемых группой компаний «Солар».
