Генеративные модели и нейросети активно приходят в сферу расследований и кибербезопасности, но на переднем крае по-прежнему остается человек. Основатель «Интернет-Розыска» и руководитель департамента расследований T.Hunter Игорь Бедеров рассказал IT Manager, почему ИИ не решит проблему кадров, как меняется технология фишинга, зачем даркнет нужно читать на сленге и что на самом деле стоит за лозунгами о «полностью автоматизированных расследованиях».
Игорь, вы один из немногих, кто работал с реальными угрозами еще до эпохи LLM и модных ИИ-продуктов. А когда, на ваш взгляд, ИИ в ИБ стал по-настоящему полезным инструментом?
Мы напрасно полагаем, что достигли в области ИИ определенного пика. Наивно думать, будто сам ИИ является конечной точкой в развитии человечества. Идеальной системы не существует. Как и не существует человека, способного ее изобрести. Она вынуждена постоянно развиваться. Полагаю, что ИИ, предназначенный для нужд ИБ, находится сегодня только в начале своего становления. Он представляет собой «второго пилота», дополняя и расширяя возможности существующих ИБ-решений и автоматизируя некоторые действия специалиста по кибербезопасности. По-настоящему полезным ИИ станет только после своего внедрения в массовые ИБ-решения, опыт пользователей которых подтвердит его неоспоримые преимущества. По прогнозам, к 2030 году системы кибербезопасности на базе ИИ станут полностью автономными, самообновляющимися и адаптивными к новым угрозам. Вероятно, он сможет обеспечить снижение нагрузки на специалистов, обнаружение неизвестных ранее угроз и их точное прогнозирование. Посмотрим.
Вы верите в ИИ как в помощника расследователя или все это пока «псевдоинтеллект» с красивыми обложками?
В настоящий момент ИИ-детективы представляют собой лишь следующий этап в развитии информационно-аналитических систем. Они способны обрабатывать большие массивы информации, использовать нечеткую логику, распознавать лица и предметы, определять сходства, строить сетевые графы расследования и немного предсказывать риски. Проблем, как всегда, две. И нет. Одна из них не ремонтирует вечно вторую. Для обеспечения эффективного ИИ-расследователя нужны точные данные, а также новые типы данных, которые еще не собираются. Ну и обучение. Модель должна понимать, о чем ее просят. Кто ее будет учить? На основании каких практик? Понятно одно: с текущим уровнем преступности, «учителей» для подобной ИИ будет трудно сыскать.
Тем не менее даже публичные модели показывают интересные результаты в части расследований, когда они снабжены качественной информацией и четким промтом (описанием задачи). Еще в конце 2023 года я, при помощи ИИ, демонстрировал наши наработки в области сбора данных об администраторах Telegram-каналов, о физических и юридических лицах. Это прекрасный ассистент в тех случаях, когда вы не хотите копаться в огромном числе данных.
Какие конкретные ИИ-инструменты уже применяются в расследованиях, мониторинге или борьбе с киберпреступлениями?
Некоторые ИИ-инструменты уже применяются в расследованиях, мониторинге и борьбе с киберпреступлениями. В качестве отечественных примеров стоит упомянуть сервисы «Яндекс.Защита» от DDoS, Kaspersky Anti-APT, InfoWatch Attack Killer, PT Sandbox и даже наш ThreatHunter DRP. Другой вопрос в том, что те задачи, которые выполняет сегодня ИИ — утилитарны. А мы ждем от него функциональности Джарвиса из фильма «Железный Человек».
Где ИИ действительно помогает, а где, наоборот, создает ложные срабатывания, «галлюцинации» или перегрузку информацией?
ИИ — это инструмент, чья польза зависит от контекста и ответственности разработчиков и пользователей. Он уже реально помогает в медицине, науке, при автоматизации рутинных задач различными специалистами, в образовании, безопасности, исследовании больших данных. Однако его эмоциональная и этическая некомпетентность, умноженная на угрозы приватности, дискриминацию, информационный перегруз и ложные срабатывания, вызывает серьезные опасения. Так, юристы могут получить некорректные ссылки на законы или прецеденты в автоматически сгенерированных документах. Соцсети и рекомендательные системы формируют «пузыри фильтров», заваливая пользователей однотипным контентом. Кредитные системы или системы предупреждения преступлений на основе ИИ могут несправедливо оценивать определенные группы населения.
Важно понимать, что ИИ должен дополнять, а не заменять экспертов. Он должен обладать понятными и прозрачными алгоритмами, а в отдельных отраслях жестко регулироваться. Как, например, в правоохранительной деятельности.
Как ИИ влияет на анализ цифровых следов? Например, ускоряет ли он обработку массива утекших баз, изображений, сетевых связей?
ИИ автоматизирует обработку утекших баз данных, сетевого трафика и метаданных. Нейросети распознают лица, объекты и паттерны в материалах с камер наблюдения, что помогает идентифицировать подозреваемых или восстанавливать ход событий. Это безусловно ускоряет работу по предупреждению и расследованию преступлений.
Кроме этого, ИИ выявляет отклонения в действиях пользователей или систем, которые могут сигнализировать о мошенничестве или атаках. На основе исторических данных ИИ предсказывает возможные векторы атак или риски преступлений, что позволяет принимать превентивные меры. Из актуального: ИИ обнаруживает поддельные аудио- и видеоматериалы, которые используются для мошенничества или дезинформации. И это крайне важно в условиях роста преступлений, связанных с распространением генеративного контента.
ИИ не только ускоряет анализ цифровых следов, но и расширяет возможности криминалистики, позволяя работать с данными, которые ранее были недоступны для ручной обработки. Однако его внедрение требует баланса между технологическими инновациями, качеством данных и мерами безопасности. Для минимизации рисков необходимы регулярный аудит алгоритмов, обучение специалистов и разработка нормативной базы.
Вы одним из первых начали говорить про фишинг нового поколения — с подделанными голосами и дипфейками. Насколько опасна эта угроза сейчас?
За первые месяцы 2025 года в России выявлено более 60 уникальных дипфейков и 2,3 тыс. их копий — это в 2,6 раза больше, чем за весь 2023 год. Росту числа политических дипфейков способствует развитие технологий ИИ, которые становятся все более простыми и доступными для широких масс населения и умножены на низкую медиаграмотность населения. Помимо этого, фиксируется усиление политической конкуренции практически во всех регионах. Ну и главное, в основную электоральную группу вошло большое число людей, воспринимающих контент не только из классических СМИ, но, прежде всего, из Интернета и социальных медиа.
Так что проблема находится в самом начале своего роста и не достигла еще критического уровня. Для минимизации угроз необходимы комплексные решения: регулярное обновление систем защиты, обучение пользователей и ужесточение правовых норм.
Возможно ли в обозримом будущем создать ИИ-инструмент, который будет выявлять дипфейки с достаточной надежностью? Или мы в погоне, которую заведомо проигрываем?
На самом деле это не вопрос возможности, а вопрос необходимости. Уже сегодня эксперт-человек становится неспособным детектировать дипфейки из-за их постоянного совершенствования. Я бы описал наш сегодняшний статус как гонку между технологиями генерации и детекции.
Генеративно-состязательные сети (GAN) постоянно совершенствуются, что позволяет создавать подделки без явных артефактов, которые сложно отличить от реальности. Именно поэтому системы детекции будут использовать те же нейросети, что и генераторы, для предсказания следующих шагов эволюции дипфейков. Мы также прогнозируем появление блокчейн-баз данных для маркировки оригинального контента и отслеживания изменений, а также внедрение детекторов в соцсети, банковские системы и государственные платформы.
Можно ли использовать ИИ не только для атаки, но и для защиты, например, для мониторинга даркнета, автоматического выявления угроз, предиктивной аналитики?
Да, искусственный интеллект активно используется для защиты в сфере кибербезопасности. Его возможности в анализе больших данных, распознавании паттернов и прогнозировании делают его незаменимым инструментом для защиты от угроз. Комбинация автоматизации и экспертизы позволяет создавать многоуровневую защиту, способную противостоять даже сложным целевым атакам (APT). Однако важно помнить, что ИИ — инструмент, а не «серебряная пуля». Его нужно дополнять регулярным аудитом, обновлениями и обучением сотрудников.
Возьмем в качестве примера сервис ThreatHunter DRP. Его ИИ сканирует даркнет и закрытые чаты в Telegram для поиска утечек данных, упоминаний компаний, продажи вредоносного ПО или слитых учетных записей. NLP (обработка естественного языка) помогает выявлять ключевые слова, сленг хакеров или обсуждения будущих атак, а также выявлять фейки и дезинформацию. На основе исторических данных и текущих трендов ИИ предсказывает вероятные векторы атак в отношении конкретных компаний или органов власти.
Вы верите в «полностью автоматизированное расследование» или всегда нужен человек, который «чует ложь»?
Нет. Автоматизировать можно то, что составляет рутину. По крайней мере это будет эффективно. Но автоматизировать то, что еще не осознано, невозможно. Равно как и пытаться автоматизировать что-то, не имея для этого достаточных данных. Следовательно, автоматизацию расследований или, говоря шире, цифровизацию правоохранительной деятельности необходимо начинать с решения базовых проблем. В их числе недостаток квалифицированных кадров, методической и технической базы, простейших средств автоматизации (начиная от ЭДО и заканчивая аналитическими системами). Наконец, для борьбы с киберпреступлениями нужны новые системы криминалистического учета и идентификации. И только после того, как эти направления будут поняты и закрыты, имеет смысл начинать говорить о полноценной автоматизации расследований.
Как вы оцениваете риски использования ИИ в руках самих киберпреступников? Насколько они уже умеют генерировать мошеннические схемы, адаптировать фишинг под пользователя, обходить фильтры?
Киберпреступники уже активно используют ИИ, делая атаки масштабнее и изощреннее за счет применения персонализированного фишинга, дипфейков, модификации кода и обхода средств защиты, социальной инженерии.
К примеру, ИИ анализирует данные из соцсетей, почты и публичных источников, создавая правдоподобные сообщения. Так, GPT-подобные модели генерируют тексты без ошибок, имитируя стиль коллег или друзей. Мошенники используют синтез голоса и видео для вымогательства, обмана в корпоративных звонках или распространения фейков. ИИ автоматически модифицирует вредоносный код, чтобы избежать сигнатурных антивирусов. Нейросети также взламывают CAPTCHA, распознавая искаженный текст или генерируя клики через компьютерное зрение. Боты в соцсетях и мессенджерах имитируют реальных людей, собирая данные или распространяя фишинговые ссылки.
Иными словами, ИИ способен обеспечить ИТ-преступность вариациями предлогов выхода на жертв, а также необходимым контентом. Но он не способен придумать принципиально новую схему мошенничества или хакерской атаки.
Если смотреть на 3–5 лет вперед, где ИИ станет «гигиеническим минимумом» в кибербезопасности, без которого нельзя будет выжить?
ИИ станет не «волшебной таблеткой», а обязательным инструментом в арсенале, аналогично антивирусам в 2000-х. Без него выжить будет сложно. Если перейти к частностям, то рост числа атак, включая целевые APT-атаки и автоматизированные угрозы, требует анализа огромных объемов данных в реальном времени. Человеческие ресурсы не справятся без помощи ИИ.
При этом ИИ способен обнаруживать аномалии и блокировать угрозы за миллисекунды, что критично для предотвращения ущерба (например, при DDoS-атаках или эксплойтах нулевого дня).
Наконец, машинное обучение выявляет скрытые закономерности в данных, предсказывая новые векторы атак до их массового распространения.
Вероятнее всего, ИИ станет частью многоуровневой защиты, включая Zero Trust, криптографию и человеческий анализ. Например, ИИ будет фильтровать 95% рутинных угроз, а специалисты сосредоточатся на сложных случаях. Так что, через 3–5 лет отсутствие ИИ в кибербезопасности будет считаться попросту рискованным.
И наконец, если бы вам сегодня дали безлимитный бюджет на разработку ИИ-продукта в сфере кибербезопасности, над чем бы вы стали работать?
Если бы мне предоставили неограниченный бюджет на разработку ИИ-продукта в сфере кибербезопасности, я бы сосредоточился на создании универсальной самообучающейся экосистемы кибербезопасности, которая интегрирует передовые технологии для превентивной защиты, адаптивного реагирования и прогнозирования угроз. А если бы задачей являлось создание системы обеспечения расследования киберпреступлений, тогда я восстановил бы свои наработки по проекту «IP-Розыск», дополнив его сквозной аналитикой собираемых данных. Внедрение такого проекта в масштабах страны позволило бы в короткий срок вдвое увеличить раскрываемость технологических преступлений, а также существенно повысить их профилактику.
При этом оба направления потребовали бы притока новых идей. Поэтому часть средств я употребил бы на создание в нашей стране системы сертификации специалистов в области анализа данных, а также технопарка нового типа, работающего в интересах страны, а не быстрой монетизации того или иного решения.