В июне 1864 года пулемет Гатлинга изменил войну. В сентябре 2025 года ИИ-агенты совершили крупнейшую кибератаку. Обе ситуации — переломные моменты, где автоматизация меняет природу конфликта. — csoonline.com
В июне 1864 года на реке Джеймс, Питерсберг, штат Вирджиния, во время Гражданской войны в США генерал Бенджамин Батлер из армии США применил в бою новое оружие, которое кардинально изменило характер кинетических сражений. Событие, получившее название «Осада Питерсберга», стало первым задокументированным случаем боевого применения пулемета Гатлинга. При скорострельности свыше 200 выстрелов в минуту мушкеты противостоящих войск Конфедерации были жалким ответом на обстрел пулями высокой плотности, направленный на них.
Гораздо позже, в сентябре 2025 года, 30 американских компаний и государственных учреждений подверглись кибератаке — эффективной, крупномасштабной кампании кибершпионажа, которая привела к утечке данных, оперативному ущербу и нераскрытым финансовым потерям. Уникальность и новизна этой атаки заключались в высокой степени ее автоматизации. Считается, что спонсируемая китайским государством группировка (GTG-1002), ответственная за атаку, использовала «Claude Code» от Anthropic (помощник по кодированию) для выполнения, по оценкам, 90% тактических операций с минимальным вмешательством человека.
Это была крупнейшая на сегодняшний день атака, управляемая агентивным ИИ. Хакеры использовали методы «внедрения промптов» (prompt injection) и ролевые игры, чтобы манипулировать ИИ, заставляя его поверить, что он проводит законное тестирование кибербезопасности для фирмы. Этот метод использовался для обхода протоколов безопасности ИИ и генерации вредоносного кода.
Кампания GTG-1002 не была бы раскрыта, если бы жертвы заметили вредоносное ПО, проникающее в их сети. Она была разоблачена только тогда, когда команда Anthropic по разведке угроз подняла тревогу в середине сентября 2025 года — после того, как они увидели, как злоумышленники превращают их платформу ИИ в оружие.
Какова связь между этими двумя инцидентами? Оба они представляют собой переломный момент. Оба являются эмблематическими необратимыми точками, когда характер конфликта изменился из-за внезапной асимметрии.
Пулемет Гатлинга — идеальная аналогия для нынешнего киберпространства. Подобно тому, как он превратил войну из ручного ремесла в промышленный процесс, современные угрозы сместились от индивидуальных атак к автоматизированным высокоскоростным столкновениям.
Вот некоторые из способов, которыми пулемет Гатлинга изменил кинетическую войну, сопоставленные непосредственно с битвой «ИИ против ИИ», возникающей сегодня в сфере кибербезопасности.
Часть 1: Как пулемет Гатлинга изменил войну
До пулемета Гатлинга (запатентован в 1862 году) ведение войны было строго ограничено человеческой механикой. Солдат мог произвести из мушкета всего 3–4 выстрела в минуту. Объем огня ограничивался количеством людей, которых можно было вывести на поле боя.
Пулемет Гатлинга коренным образом изменил эту реальность тремя способами:
- Механизированная скорострельность: Используя механизм с ручным приводом для вращения нескольких стволов, он позволял небольшому расчету производить более 200 выстрелов в минуту. Он отделил летальность оружия от физических ограничений солдата.
- Мгновенная асимметрия: Внезапно расчет из трех человек мог подавить полк численностью в сотни человек. «Математика» войны изменилась: для победы больше не требовалось больше войск; скорее, требовалась лучшая автоматизация.
- Подавление: Он ввел понятие «подавляющего огня» — насыщения воздуха таким количеством свинца, что противник не мог двигаться, думать или маневрировать.
Результат? Это положило конец тактике «человеческих волн» (массированных пехотных атак), поскольку бросать людей под огонь со скоростью пулемета было самоубийством.
Часть 2: ИИ — это пулемет Гатлинга киберпреступности
Подобно тому, как пулемет Гатлинга индустриализировал стрельбу пулями, ИИ индустриализировал «стрельбу» кибератаками.
Злоумышленники больше не занимаются вручную составлением фишинговых писем или поиском уязвимостей по одной. Они используют ИИ, чтобы «крутить ручку».
Объем огня (Эволюция «стреляй и молись»)
Старый способ (мушкет): Хакер вручную пишет фишинговое письмо, переводит его и отправляет цели. Если не получается, он пробует снова.
Способ с ИИ (пулемет Гатлинга): Злоумышленник использует большую языковую модель (LLM) для генерации 10 000 уникальных, идеально переведенных, контекстно-зависимых фишинговых писем за секунды. ИИ действует как «вращающиеся стволы», перебирая цели со скоростью, недостижимой для человека.
Асимметрия (умножение силы)
Старый способ: Чтобы одновременно атаковать компанию из списка Fortune 500 или крупное государственное учреждение с нескольких сторон, требовалась крупная преступная организация (кибер-армия).
Способ с ИИ: Один «скрипт-кидди» (неквалифицированный злоумышленник) может использовать агентов ИИ для написания вредоносного ПО, сканирования портов и составления сценариев социальной инженерии. Один человек теперь может генерировать наступательное давление уровня государственной структуры десятилетней давности.
«Полиморфная» пуля
В кинетической войне пуля — это просто пуля. Однако ИИ добавляет опасный кибернетический поворот: полиморфизм — способность вредоносного ПО или кибератаки автономно изменять свой код, внешний вид или структуру для уклонения от обнаружения, сохраняя при этом свое вредоносное намерение. Хотя «традиционный» полиморфизм существует десятилетиями, интеграция генеративного ИИ превратила его из скриптового процесса в динамичную, «интеллектуальную» эволюцию.
Злоумышленники используют ИИ для переписывания кода на лету. Каждый раз, когда «стреляет» «пушка», «пуля» выглядит по-разному (разный хеш файла, разная структура кода), что делает ее невидимой для традиционных «бронежилетов» (устаревших антивирусов).
Часть 3: Оборона — борьба с машинами с помощью машин
В XIX веке единственным способом выжить под пулеметом Гатлинга было вырыть окоп (пассивная защита) или обзавестись собственным пулеметом (активная защита).
В кибербезопасности вы не можете защититься от ИИ, просто добавив больше людей. Скорострельность слишком высока. Если ИИ действует как пулемет Гатлинга, выпуская 1000 оповещений в минуту по вашей организации, аналитик безопасности-человек (которому требуется 10 минут для расследования одного оповещения) будет мгновенно перегружен.
Организации развертывают оборонительные инструменты на базе ИИ для создания щита «машинной скорости»:
Автоматизированный контрбатарейный огонь
Концепция: Сравнима с оркестровкой безопасности, автоматизацией и реагированием (SOAR).
Как это работает: Когда наступательный ИИ «выстреливает» вредоносным письмом, оборонительный ИИ перехватывает пулю, анализирует ее траекторию (метаданные) и мгновенно «отвечает огнем», удаляя это письмо из 10 000 почтовых ящиков по всей компании одновременно. Ни один человек не нажимает кнопку; это делает машина.
Распознавание образов (поиск сигнала в шуме)
Концепция: Обнаружение аномалий (UEBA).
Как это работает: Подобно тому, как пулемет Гатлинга создает «туман войны» с помощью дыма и шума, атаки ИИ создают туман данных. Оборонительный ИИ игнорирует шум и ищет тонкие отклонения.
Пример: «Пользователь Дэйв обычно входит в систему из Нью-Йорка. Сегодня он вошел в систему из Бостона, а скорость набора текста (динамика нажатия клавиш) соответствует боту, а не Дэйву». ИИ блокирует учетную запись еще до того, как менеджер Дэйва проснется.
Предиктивное экранирование
Концепция: Разведка угроз на основе ИИ.
Как это работает: Оборонительный ИИ анализирует «пули», попадающие в другие компании. Если Компания А подвергается атаке нового вымогательского ПО, сгенерированного ИИ, Оборонительный ИИ в Компании Б мгновенно обновляет свою «броню» (правила брандмауэра или защиту конечных точек), чтобы заблокировать этот конкретный вектор атаки еще до того, как злоумышленник направит свое оружие на Компанию Б.
Как это работает на практике?
Ниже приведены некоторые примеры того, как возможности безопасности на базе ИИ противодействуют механизмам угроз, управляемых ИИ.
Противодействие полиморфному и написанному ИИ коду
ИИ позволяет злоумышленникам писать вредоносное ПО, которое «мутирует» (переписывает собственный код) для обхода традиционного сигнатурного обнаружения. Вместо поиска определенного хеша файла (который постоянно меняется при вредоносном ПО, управляемом ИИ), генеративный ИИ, используемый в разведке угроз на базе ИИ, может читать и «объяснять» поведение скрипта. Он может анализировать запутанный или совершенно новый код и генерировать сводку на естественном языке о том, что этот код делает (например, «Этот скрипт перехватывает нажатия клавиш и отправляет их на внешний IP-адрес»).
Соответствие скорости атак ИИ
Агенты ИИ могут запускать атаки с машинной скоростью, перегружая аналитиков-людей, которые полагаются на ручное написание запросов (SQL, SPL и т. д.). SIEM на базе ИИ может позволить защитникам использовать естественный язык для мгновенной генерации сложных правил обнаружения и поисковых запросов в режиме реального времени.
Пример: Защитник может ввести: «Найти все конечные точки, которые пытались подключиться к подозрительному IP-адресу за последние 10 минут, и изолировать их», а LLM преобразует это в необходимый синтаксис (поиск UDM или правила обнаружения) и выполнит его.
Обнаружение фишинга и социальной инженерии, усиленных ИИ
Злоумышленники используют генеративный ИИ для создания гиперперсонализированных фишинговых писем (целевой фишинг), в которых отсутствуют типичные грамматические ошибки. Модель ИИ, обученная на передовой разведке, может анализировать входящую угрозу и сопоставлять ее с известным поведением злоумышленников. Она может обобщать сложные пути атак и сообщать аналитику: «Этот шаблон письма соответствует текущим TTP (тактикам, техникам и процедурам) APT29», даже если сам текст письма выглядит безупречно.
Пересечение ИИ-Рубикона
Таким образом, ИИ привел к драматическому сдвигу парадигмы, подобно кибервойне, и каждая организация должна адаптироваться к новому полю боя, с которым мы сталкиваемся. Теперь ясно, что возврата к старой форме киберзащиты не существует и что 2025 год стал годом, когда кибербезопасность пересекла ИИ-Рубикон.
Подобно тому, как пулемет Гатлинга радикально изменил тактику на поле боя Гражданской войны в США, генеративный ИИ трансформировал кибератаки из скриптового процесса в динамический, автоматизированный процесс. Те же старые оборонительные стратегии и инструменты быстро становятся неэффективными. Статус-кво и застой не помогут.
Так как отреагирует ваша организация?
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Lohrmann