Lielā atsaiste: kāpēc mākslīgajam intelektam neizdevās demokratizēt augsta līmeņa kibernoziedzību

Iepriekš kiberdrošības nozarē valdīja kolektīvs pieņēmums, ka lielie valodas modeļi (LLM) samazinās ienākšanas barjeru sarežģītu kiberuzbrukumu veikšanai līdz niecīgam līmenim. Tagad, 2026. gada vidū, Edinburgas Universitātes empīriskie dati un pazemes forumu telemetrija liecina, ka barjera nav izzudusi; tā ir tikai pārvietojusies no manuālas sintakses iegaumēšanas uz sarežģītu prasību pēc uzvedņu inženierijas (prompt engineering) un resursietilpīgas "jailbreaking" metodes. Lai novērtētu šīs plaisas mērogu, mums ir jāskatās tālāk par 2023. gada sensacionālajiem virsrakstiem un jāanalizē berze, kas pašlaik paralizē digitālo pazemi.

Stāsts par "ar MI darbināmu superhakeri" ir saskāries ar skarbu realitāti: zināšanu trūkums ir kļuvis par neizteiktu sabiedroto aizsardzībai. Kamēr drošības kopiena gatavojās autonomu ļaunprogrammatūru vilnim, uzbrucēji cīnījās ar tām pašām halucinācijām, drošības barjerām un loģikas kļūdām, kas moka leģitīmos uzņēmumu lietotājus. Informācijas drošības vadītājiem (CISO) tas nav aicinājums uz pašapmierinātību, bet gan signāls novirzīt resursus no "MI panikas" uz arhitektonisko noturību.

Pazemes vadošo modeļu neveiksme

Sākotnējais entuziasma vilnis pazemes forumos par tādiem rīkiem kā WormGPT un FraudGPT lielā mērā ir izgaisis, un to nomainījusi ciniska atziņa, ka šie produkti bieži vien bija tikai ietvarprogrammas (wrapper scripts) vecākiem, vājākiem atvērtā pirmkoda modeļiem. Edinburgas Universitātes veiktā vairāk nekā 100 miljonu forumu ziņu analīze izceļ kritisku pavērsienu uzbrucēju domāšanā: viņi ir sapratuši, ka specializēts "ļaunprātīgs" MI ir ievērojami vājāks par Anthropic vai OpenAI izstrādātajiem vadošajiem modeļiem.

Praksē tas nozīmē, ka spējīgākie uzbrucēji neizmanto pielāgotu kriminālo MI; viņi mēģina pakļaut leģitīmu, vairāku miljardu dolāru vērtu infrastruktūru. Tomēr šajos galvenajos modeļos integrētās drošības barjeras ir izrādījušās pārsteidzoši izturīgas. Kibernoziedznieki konstatē, ka tajā laikā, kamēr viņiem izdodas veiksmīgi "uzlauzt" (jailbreak) modeli, lai ģenerētu funkcionālu uzbrukuma kodu, viņi būtu varējuši uzrakstīt kodu manuāli uz pusi īsākā laikā. Šī laika berze ir strukturāla uzvara aizstāvjiem. Kad uzbrucējs ir spiests pāriet uz vecākiem, zemākas kvalitātes atvērtā pirmkoda modeļiem, viņš saskaras ar ievērojamiem veiktspējas griestiem. Šiem mantotajiem komponentiem trūkst spriešanas spēju, kas nepieciešamas, lai orientētos sarežģītās tīkla arhitektūrās vai atklātu jaunas ievainojamības mūsdienu programmatūras sistēmās.

Mērogotas viduvējības realitāte

Lai gan MI nav spējis radīt jaunu elites hakeru klasi, tas neapšaubāmi ir pilnveidojis mērogotas viduvējības mākslu. Pētījums apstiprina, ka MI galvenā ietekme uz draudu ainavu ir koncentrēta jomās, kur kvantitāte ir svarīgāka par precizitāti. Sociālo mediju botu izveide, SEO krāpniecība un automatizētas romantiskās krāpšanas ir piedzīvojušas milzīgu pieaugumu, jo šie uzdevumi neprasa MI izprast sistēmas pamatā esošo loģiku; tiem nepieciešama tikai ticamas cilvēka valodas ģenerēšana.

Skaidrības labad mēs redzam draudu modeļu diverģenci. "Augstākā līmeņa" draudi — valsts sponsorēti aktori un progresīvas izspiedējprogrammatūru grupas — turpina paļauties uz cilvēka atjautību sānu kustībām (lateral movement) un nulles dienas ievainojamību atklāšanai. Tikmēr "zemākā līmeņa" draudi ir kļuvuši par liela apjoma trokšņa mašīnu. Loģika mainās uz atziņu, ka MI nav skalpelis precīziem ielaušanās gadījumiem, bet gan megafons sociālajai inženierijai. Šīs izmaiņas prasa mainīt veidu, kā mēs raugāmies uz perimetru. Ja katra ienākošā komunikācija potenciāli ir MI ģenerēts ēsmas rīks, "uzticama" e-pasta vai ziņas jēdziens ir oficiāli miris.

Arhitektūra pār perimetru: vienīgā izdzīvošanas stratēģija

Pieredzējušiem drošības speciālistiem Edinburgas pētījums apstiprina fundamentālu patiesību: iekšējā segmentācija ir vienīgā dzīvotspējīgā izdzīvošanas stratēģija. Ja mēs pieņemam, ka MI ļauj pat zema līmeņa uzbrucējiem mērogā ģenerēt pārliecinošas fiktīvas ziņas, mums jāpieņem, ka sākotnējā piekļuve ir statistiski neizbēgama. DMZ nav koplietošanas telpa, bet gan individuāla vieninieka kamera.

Tas, kas tieši ir jāpārskata, ir viena kompromitēta identitātes "sprādziena rādiuss". Tā kā MI kodēšanas asistenti galvenokārt ir noderīgi tiem, kuri jau ir prasmīgi, reālais risks rodas no prasmīga uzbrucēja, kurš izmanto MI, lai paātrinātu izpētes fāzi, kad viņš jau atrodas tīklā. De facto MI kalpo kā efektivitātes reizinātājs ekspertam, nevis kā tilts amatierim. Tāpēc mūsu aizsardzības arhitektūrai jākoncentrējas uz to, lai padarītu sānu kustību pēc iespējas skaitļošanas un loģikas ziņā dārgāku. Mikrosegmentācija un stingri ieviesta nulles uzticības (Zero Trust) arhitektūra vairs nav "labākā prakse"; tie ir darbības nepārtrauktības pamati.

LLM lietderības asimetrija

Viens no dziļākajiem atradumiem nesenajos pētījumos ir piekļuves asimetrija starp uzbrucējiem un aizstāvjiem. Kamēr hakeri cīnās, lai apietu drošības filtrus ļaunprātīga koda ģenerēšanai, aizsardzības komandas izmanto tos pašus modeļus — nefiltrētus —, lai auditētu iekšējās kodu bāzes, apkopotu masīvus žurnālus no Drošības operāciju centriem (SOC) un automatizētu ielāpu pārvaldību.

Iepriekš 27 gadus vecas kļūdas atrašana varēja aizņemt nedēļas un mēnešus, lai to novērstu. Tagad aizstāvis ar uzņēmuma līmeņa LLM var identificēt to pašu mantoto ievainojamību dažu stundu laikā un izstrādāt novēršanas plānu. Pētījums liecina, ka pirmo reizi vēsturē tehnoloģiskās priekšrocības varētu sliekties par labu aizstāvim, ja vien aizstāvim ir arhitektoniskais briedums šo rīku izmantošanai. Zināšanu trūkums uzbrucējam kaitē vairāk nekā aizstāvim, jo aizstāvis darbojas tehnoloģijas paredzētajā, drošības filtrētajā lietošanas ietvarā.

Rīcības plāns: 6–12 mēnešu stratēģiskais ceļvedis

Lai izmantotu šo pagaidu uzbrucēju neapmierinātības logu, CISO un CTO jārīkojas agresīvi, lai nostiprinātu savu iekšējo vidi. Mērķis nav novērst MI ģenerētas ēsmas nonākšanu pie darbinieka, bet gan nodrošināt, lai no tā izrietošā piekļuve nevarētu eskalēties.

• 1. fāze: Identitātes un piekļuves stiprināšana (0–3 mēneši)
  • Aizstāt uz SMS balstītu MFA ar aparatūras drošības atslēgām (FIDO2) vai robustām piekļuves atslēgu (passkey) implementācijām, lai neitralizētu MI vadītu pikšķerēšanu.
  • Veikt visaptverošu visu pakalpojumu kontu auditu, kas bieži vien ir vēlamie mērķi sānu kustībai pēc sākotnējās MI palīdzētās ielaušanās.
• 2. fāze: Mikrosegmentācija un sprādziena rādiusa ierobežošana (3–6 mēneši)
  • Ieviest granulētu tīkla segmentāciju. Uzskatīt katru nodaļu un pat katru kritisko lietojumprogrammu par savu izolētu salu.
  • Izvietot automatizētus "kanārijputniņa" marķierus (canary tokens) visā tīklā. Tā kā MI palīdzētā izpēte mēdz būt trokšņaina, šie mānekļi var sniegt agrīnu brīdinājumu par iebrucēju.
• 3. fāze: Aizsardzības MI integrācija (6–12 mēneši)
  • Integrēt LLM CI/CD konveijerā, lai veiktu visa jaunā koda drošības pārbaudi reāllaikā.
  • Aprīkot SOC ar MI palīdzētiem orķestrēšanas rīkiem (SOAR), lai filtrētu liela apjoma troksni, ko rada zemāka līmeņa MI automatizētās krāpniecības, ļaujot cilvēku analītiķiem koncentrēties uz augstas ticamības draudiem.

Secinājums

Edinburgas Universitātes atradumi kalpo kā nepieciešama auksta duša nozarei, kuru apreibinājis MI haips. 2026. gada realitāte ir tāda, ka "autonomais pretinieks" joprojām ir vairāk mārketinga biedēklis, nevis funkcionāla realitāte vidusmēra kibernoziedzniekam. Tomēr šī uzbrucēja neapmierinātība neturpināsies mūžīgi. Tā kā atvērtā pirmkoda modeļi panāks mūsdienu vadošos modeļus, ienākšanas barjera galu galā samazināsies.

Izdzīvošana ir atkarīga no arhitektūras un ātruma. Mums jāizmanto šis uzbrucēju stagnācijas periods, lai nojauktu mūsu nesegmentētās mantotās sistēmas un aizstātu tās ar noturīgām, granulētām arhitektūrām. Mērķis nav novērst visus ielaušanās gadījumus, bet gan nodrošināt, lai piekļuve nekļūtu par katastrofu. Kiberdrošības šaha mačā MI nav aizstājis spēlētājus; tas ir vienkārši mainījis pulksteņa ātrumu.

Avoti:

• University of Edinburgh: Analysis of Cybercriminal LLM Usage on Underground Forums (CrimeBB Database).
• Cambridge Cybercrime Centre: Longitudinal Analysis of Underground Market Dynamics.
• OpenAI/Anthropic: Safety Transparency Reports 2025-2026.
• CISA: Advisory on AI-Driven Social Engineering and Scaled Automation.

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem mērķiem. Tas neaizstāj juridisku vai profesionālu padomu, kā arī neaizstāj nepieciešamību pēc visaptveroša, profesionāla kiberdrošības audita vai īpaša incidentu reaģēšanas pakalpojuma, kas balstīts uz jūsu organizācijas specifiskajām vajadzībām.