Кіберзлочинці дедалі частіше застосовують штучний інтелект (ШІ) для організації атак на компанії, поступово відходячи від традиційних інструментів, таких як PowerShell, на користь легітимних ШІ-сервісів, які вже широко використовуються у корпоративному середовищі. Це дозволяє їм проникати у цифрову інфраструктуру бізнесу, минаючи стандартні засоби захисту.
Про це розповідає ProIT
Використання легітимних ШІ для витоку даних і автоматизації атак
Замість застосування шкідливого програмного забезпечення, сучасні зловмисники маніпулюють легітимними ШІ-інструментами, яким довіряють підприємства. Експерти називають цю тенденцію «життям за рахунок ШІ». Відомо, що такі атаки вже відбувалися через підроблені сервери MCP у ланцюгах постачання, використання інструментів на кшталт Claude для витягування конфіденційної інформації та через агентів-вірусів, як-от OpenClaw.
“Ми спостерігаємо це у випадках з отруєними серверами MCP у ланцюгах постачання, використання легітимних моделей на кшталт Claude для вилучення конфіденційних даних та вірусних агентів, як OpenClaw, що спричиняють руйнівні дії”, – каже Каушік Шанаді, технічний директор Helmet Security. “Проблема в тому, що більшість систем були впроваджені до того, як було продумано управління та безпеку”.
Фахівці з безпеки відзначають, що новий рівень загроз пов’язаний з так званим «викраденням агентів» — тобто маніпулюванням ШІ-помічниками через легальні функції автоматизації й пам’яті, які раніше вважалися безпечними.
Основні способи використання ШІ у злочинних схемах
- Підроблені сервери MCP. У вересні 2025 року було зафіксовано використання фальшивого сервера MCP для інтеграції транзакційного поштового сервісу Postmark у роботу ШІ-помічників. Зловмисники змінювали код пакета лише в одному рядку, що дозволяло їм непомітно отримувати доступ до конфіденційних повідомлень протягом кількох днів. Пакет завантажувався близько 1 500 разів на тиждень через реєстр Node.js, створюючи значну загрозу бізнесу.
- Використання платформ ШІ як C2-каналів. ШІ-сервіси маскуються під канали командування та управління (C2), приховуючи шкідливий трафік у легітимних запитах. Зокрема, бекдор SesameOp ховав командний трафік в API OpenAI Assistants, а подібні атаки були здійснені через Microsoft Copilot і Grok.
- Отруєння залежностей у робочих процесах ШІ. Через скомпрометовані пакети NPM атакуючі впливали на роботу агентських конвеєрів, змінюючи сценарії прийняття рішень у системах ШІ без явних ознак втручання.
- Експлуатація вразливостей агентів ШІ. Наприклад, уразливість EchoLeak у Microsoft 365 Copilot (CVE-2025-32711) дозволяла зловмисникам витягувати внутрішні файли компаній через звичайний електронний лист. Серія вразливостей (CVE-2026-25253) у OpenClaw відкрила доступ до контролю над агентами ШІ для шкідливих сайтів, а 12% ринку навичок для OpenClaw були заражені шкідливим ПЗ.
- Шпигунські кампанії завдяки ШІ. У вересні 2025 року Anthropic виявила, що група GTG-1002 автоматизувала до 90% тактичних операцій за допомогою Claude Code, розбиваючи операції на тисячі безпечних на вигляд завдань та використовуючи рольові ігри для обходу захисту моделей.
- Модульні платформи ШІ для зламу. Створення спеціалізованих платформ, таких як Xanthorox AI, дає змогу зловмисникам генерувати шкідливе ПЗ та експлойти. Інтеграція Hexstrike із MCP дозволяє Xanthorox працювати автономно, здійснюючи атаки без додаткової участі людини.
Сучасні атаки націлені не на традиційні IT-компоненти, а на агентів ШІ, яким довіряють компанії. Водночас зловмисники активно обходять стандартні засоби захисту, використовуючи вразливості, які ще не були враховані під час впровадження цих технологій.
Експерти закликають бізнес переглянути підходи до захисту ШІ-помічників та забезпечити для них суворий контроль доступу, моніторинг дій і не вважати їх апріорі безпечними.