# Мэтью Берман: «В ближайшие три года ИИ вскроет все уязвимости мирового софта» Источник: https://www.youtube.com/watch?v=hAzhVloGkOw Канал: Matthew Berman Опубликовано: 13.05.2026 --- Мэтью Берман предупреждает о наступлении новой эры киберугроз, где искусственный интеллект делает хакерские атаки беспрецедентно масштабными и прибыльными. На фоне обнаружения первого «нулевого дня», найденного ИИ, и взлома крупных платформ вроде Vercel, автор канала анализирует, почему в ближайшие годы каждое устройство и программа окажутся под прицелом автоматизированных систем взлома. ## 🐛 Эпидемия «червей» и первый ИИ-эксплойт нулевого дня [[JUMP:0:00]] Ситуация в сфере кибербезопасности достигла критической точки: злоумышленники начали использовать инструменты, которые ранее были доступны только спецслужбам. Группа анализа угроз Google (GTIG) зафиксировала первый в истории случай использования в реальных условиях эксплойта «нулевого дня» (zero-day), обнаруженного искусственным интеллектом. Обычно такие уязвимости стоят огромных денег на черном рынке, так как о них не знает разработчик, и защиты от них не существует. Традиционно государственные акторы «копят» такие эксплойты для проведения массированных скоординированных атак, но теперь ИИ позволяет находить их в промышленном масштабе. Параллельно с этим интернет захлестнула волна атак на цепочки поставок. Особую опасность представляет вредоносное ПО Shai-Hulud — червь, распространяющийся через пакетный менеджер npm. Его особенности поражают своей жестокостью: * **Механизм «мертвеца»:** если жертва обнаруживает кражу GitHub-токена и аннулирует его, встроенный скрипт немедленно удаляет весь домашний каталог пользователя. * **Масштаб:** атака затронула уже 373 версии вредоносных пакетов, маскирующихся под известные продукты, такие как UiPath, Squawk и Tallyui. * **Мультиплатформенность:** червь уже перекинулся из экосистемы npm (JavaScript) в репозитории PyPI (Python). --- ## ⚡ Взлом Vercel: когда скорость ИИ важнее защиты [[JUMP:7:00]] В апреле 2026 года одна из ведущих платформ для фронтенд-разработки, Vercel, подверглась серьезному взлому. Как утверждает генеральный директор компании Гильермо Рауш, атака была «почти наверняка усилена ИИ». Инцидент начался с компрометации сотрудника через стороннюю платформу context.ai. По мнению Рауша, атакующие действовали с «невероятной скоростью» и демонстрировали глубокое понимание внутренних систем Vercel. Мэтью Берман отмечает, что это лишь начало: мы увидим экспоненциальный рост числа атак, где ИИ используется для мгновенной разведки и перемещения внутри сети жертвы. --- ## 🏗️ Проблема «Vibe Coding» и избыток незащищенного кода [[JUMP:3:28]] Одной из причин роста числа успешных взломов Мэтью Берман называет революцию «вайб-кодинга» (vibe coding). ИИ позволяет писать код в огромных объемах людям, которые не всегда понимают, как работают устанавливаемые ими зависимости. Основные факторы риска, по мнению автора: 1. **Отсутствие аудита:** разработчики (включая самого Бермана) часто не проверяют ни единой строки кода, сгенерированного ИИ-агентами. 2. **Автоматизация вредоносов:** злоумышленники создают автономные системы, которые 24/7 сканируют открытый код на наличие ошибок. 3. **Полиморфное ПО:** ИИ позволяет создавать вирусы, которые меняют свой код при каждом копировании, что делает их невидимыми для традиционных антивирусов. --- ## 🛡️ Гонка вооружений: Claude Mythos против GPT 5.5 Cyber [[JUMP:26:32]] Ведущие лаборатории ИИ уже включились в борьбу, создавая специализированные модели для киберзащиты. Однако их подходы кардинально различаются. **Anthropic и проект Glasswing:** Компания представила модель Mythos — первую известную модель с 10 триллионами параметров. Anthropic предпочла закрытый подход: модель не выпущена в общий доступ, так как считается «слишком опасной». Её предоставили только избранным партнерам, таким как Apple, Google и JPMorgan, для укрепления их инфраструктуры. * **Результаты Mythos:** модель самостоятельно обнаружила 27-летнюю уязвимость в OpenBSD и 16-летнюю брешь в библиотеке FFmpeg, которая используется почти во всем видео-софте мира. **OpenAI и GPT 5.5 Cyber:** В противовес Anthropic, OpenAI выпустила специализированную версию GPT 5.5 Cyber. По мнению Бермана, подход OpenAI — «выпускай раньше, итерируй чаще» — более эффективен для реальной защиты мира. Хотя по тестам GPT 5.5 Cyber (81.9 балла) слегка уступает Mythos (83.1 балла), она доступна более широкому кругу защитников. --- ## 📈 Экономика кибервойны и геополитические риски [[JUMP:31:48]] Дженсен Хуанг, глава NVIDIA, в интервью Джо Рогану сформулировал главную доктрину современности: «Мой ИИ против твоего ИИ». Берман считает, что в этой битве победит тот, у кого больше вычислительных мощностей и денег на обучение гигантских моделей. Это создает интересную экономическую ситуацию: * **Преимущество государств:** создать модель мирового уровня, способную эффективно атаковать защищенные системы, могут только страны с миллиардными бюджетами и доступом к энергии (США, Китай). * **Ловушка «длинного хвоста»:** хотя мелкие хакеры не могут создать сверхмощный ИИ, они могут использовать открытые (Open Source) модели. Это делает атаки на обычных людей и малый бизнес невероятно дешевыми и прибыльными. Раньше взлом обычного человека за $10,000 не окупал затрат времени хакера, но теперь ИИ делает это автоматически и параллельно для тысяч жертв. Мэтью Берман прогнозирует, что в ближайшие 2–3 года мы пройдем через «точку перегиба»: сначала ИИ вскроет абсолютно все существующие уязвимости в старом коде, но затем всё новое ПО будет писаться нейросетями уже в защищенном виде, что приведет к созданию софта практически без багов. В качестве практического совета автор рекомендует всем договориться с близкими о секретном «кодовом слове», чтобы защититься от дипфейк-звонков, которые становятся всё более реалистичными.