Свежие данные UK AI Security Institute и сообщения Palo Alto Networks показывают: фронтирные AI-модели уже ускоряют часть задач кибербезопасности — поиск уязвимостей, триаж, подготовку PoC, анализ кода и помощь с патчами. Но это не означает полной замены специалистов: самые сильные результаты появляются там, где моделью управляет опытный исследователь, а выводы проходят проверку человеком.
Главная суть — AI быстрее закрывает отдельные этапы работы, но не заменяет ответственность эксперта
14 мая 2026 года The Register со ссылкой на UK AI Security Institute описал важный сдвиг: крупные языковые модели становятся заметно эффективнее в выполнении отдельных киберзадач. День раньше, 13 мая, сам AISI опубликовал разбор скорости роста автономных кибервозможностей моделей. Ключевой вывод: ранее институт оценивал, что длина задач, которые AI способен выполнить с высокой надёжностью, удваивалась примерно каждые 4,7 месяца, но Claude Mythos Preview и GPT-5.5 заметно превысили эту траекторию.
Проще говоря, речь не о том, что AI «стал полноценным пентестером». Речь о другом: модели научились дольше удерживать контекст, выполнять больше шагов подряд, работать с кодом и инструментами, а также быстрее доводить часть технических задач до результата.
Это особенно важно для кибербезопасности, потому что отрасль давно страдает от нехватки специалистов. Если раньше узким местом был человек, который вручную читает код, проверяет гипотезы, сортирует отчёты и пишет рекомендации, то теперь часть этой рутины может брать на себя модель.
Что именно AI уже делает быстрее человека
Поиск уязвимостей в коде
Самый заметный пример — история Palo Alto Networks. По данным Axios от 13 мая 2026 года, компания использовала продвинутые AI-модели Anthropic и OpenAI и за месяц нашла 75 уязвимостей в своих продуктах. Для сравнения, обычно компания находила и раскрывала около 5–10 уязвимостей в месяц.
Важно не только количество. Palo Alto Networks подчёркивает, что модели помогали находить не просто отдельные слабые места, а цепочки проблем, которые вместе превращались в серьёзный путь атаки. Это как если бы человек нашёл три небольшие трещины в стене, а AI быстрее понял, что вместе они открывают проход внутрь здания.
Триаж и приоритизация
В кибербезопасности мало просто «найти баг». Нужно понять, насколько он опасен, можно ли его реально использовать, где он находится, кого затрагивает и что исправлять первым.
Именно здесь AI становится полезным ускорителем. OpenAI в описании Trusted Access for Cyber указывает, что GPT-5.5 с расширенным доступом для проверенных защитников рассчитан на задачи вроде secure code review, vulnerability triage, malware analysis, detection engineering и patch validation.
Для команды безопасности это означает меньше времени на первичную сортировку и больше внимания к действительно опасным проблемам.
Подготовка проверочных PoC в разрешённой среде
PoC — это proof of concept, то есть демонстрация, что уязвимость действительно работает. В легальной защитной работе PoC нужен не для атаки, а для проверки: система уязвима или уже защищена.
OpenAI показывает разницу между обычным доступом к модели и Trusted Access for Cyber: стандартная модель может отказаться от опасного запроса, а модель с доверенным доступом для проверенных специалистов может помочь подготовить безопасную проверку в авторизованной среде. Отдельный GPT-5.5-Cyber предназначен для ещё более специализированных сценариев, например контролируемого red teaming и валидации.
Здесь важно не перепутать пользу и риск. Один и тот же навык может помогать защитникам проверять исправления, но в руках злоумышленников ускорять подготовку атак. Поэтому доступ к таким возможностям ограничивают и сопровождают проверкой пользователей.
Проверка патчей и снижение шума
Одна из главных проблем security-инструментов — ложные срабатывания. Они создают видимость активности, но отнимают время у инженеров.
OpenAI в марте 2026 года представила Codex Security — agentic-инструмент для анализа кода, поиска, проверки и исправления уязвимостей. В описании продукта компания говорит, что агент строит контекст проекта, создаёт threat model, приоритизирует проблемы, валидирует находки в sandbox-средах и предлагает патчи. В бета-использовании OpenAI сообщала о снижении шума и уменьшении доли ложноположительных результатов.
Это не свежая новость 13–14 мая, но полезный официальный контекст: именно такие продукты показывают, в какую сторону движется рынок — от простого «сканера предупреждений» к помощнику, который пытается проверить реальный риск.
Таблица — где AI уже силён, а где человек всё ещё критичен
| Задача | Что AI ускоряет | Где нужен человек |
| Анализ кода | Быстро читает большие участки, ищет подозрительные паттерны | Понимает бизнес-логику и реальные последствия |
| Поиск уязвимостей | Генерирует гипотезы, сопоставляет слабые места, находит цепочки | Проверяет, есть ли реальная эксплуатируемость |
| Триаж | Сортирует находки по вероятной критичности | Принимает решение о приоритете для бизнеса |
| PoC в лаборатории | Помогает собрать проверочный сценарий | Контролирует легальность, границы теста и безопасность |
| Patch validation | Сравнивает исправление с причиной бага | Оценивает риск регрессий и принимает финальное решение |
| Detection engineering | Помогает писать правила и сценарии обнаружения | Проверяет качество сигналов на реальной инфраструктуре |
| Incident response | Быстро суммирует логи и предлагает гипотезы | Руководит расследованием и принимает решения под риском |
Почему это не «конец профессии»
Главный трезвый вывод звучит так: AI заменяет не киберспециалиста целиком, а часть его операций.
Axios прямо отмечает, что в кейсе Palo Alto Networks поиск уязвимостей всё равно требовал серьёзной экспертизы и настройки. Компания строила специальный AI-scanning harness — обвязку, которая подавала моделям контекст, threat intelligence и рабочие ограничения. Также сообщалось о средней доле ложноположительных результатов около 30%, хотя показатель зависел от настройки и качества контекста.
Это важная деталь. Если модель ошибается в 30% случаев, то без эксперта она может завалить команду шумом, создать ложное чувство безопасности или, наоборот, отвлечь от реальной проблемы. Хороший специалист нужен не меньше, а иногда больше: теперь он должен не только знать безопасность, но и уметь управлять AI-инструментами, задавать правильный контекст и проверять выводы.
Что изменится для рынка труда
Самый вероятный сценарий — не массовое исчезновение киберспециалистов, а перераспределение задач.
Junior-уровень может измениться сильнее всего. Раньше начинающий специалист часто рос через ручную рутину: первичный анализ алертов, простые проверки, сортировка отчётов, чтение документации, подготовка черновиков правил. Теперь многие такие операции может ускорять AI. Это повышает планку: новичку придётся быстрее учиться проверке гипотез, работе с инфраструктурой, пониманию рисков и коммуникации с разработчиками.
Middle и senior-специалисты, наоборот, получают усилитель. Они смогут быстрее проверять больше гипотез, проводить более глубокий анализ и закрывать больше задач за то же время. Но только при условии, что умеют отличать полезный вывод модели от уверенной ошибки.
Практический вывод для компаний
Компаниям уже сейчас стоит готовиться к тому, что скорость поиска уязвимостей вырастет и у защитников, и у атакующих. Palo Alto Networks, по данным Axios, оценивает окно до широкого доступа злоумышленников к сопоставимым возможностям в несколько месяцев, а не лет.
Минимальный практический набор действий выглядит так:
- Ускорить инвентаризацию публичных сервисов и убрать всё лишнее из интернета.
- Сократить время установки критических патчей.
- Внедрить проверку кода и зависимостей до попадания в production.
- Использовать AI-инструменты для первичного анализа, но не давать им права финального решения.
- Обучать security-команды работе с моделями: промптингом, контекстом, валидацией и безопасными ограничениями.
Что пока неизвестно
Пока нельзя уверенно сказать, является ли скачок возможностей Claude Mythos Preview и GPT-5.5 новой постоянной траекторией или разовым рывком. AISI прямо указывает, что пока неясно, означает ли это новый ускоренный тренд.
Также неизвестно, насколько быстро такие возможности окажутся доступны широкой аудитории, какие ограничения введут регуляторы и как именно злоумышленники будут адаптировать модели под реальные атаки.
Итог — профессия не исчезает, но меняется быстрее, чем ожидалось
AI уже способен выполнять часть киберзадач быстрее человека: искать уязвимости, связывать слабые места в цепочки, помогать с PoC, триажем, детектами и патчами. Но самые сильные результаты пока появляются в связке «эксперт плюс модель», а не в полностью автономном режиме.
Для специалистов это сигнал не паниковать, а перестраиваться. Ценность будет смещаться от ручного выполнения рутины к постановке задач, проверке выводов, пониманию рисков и ответственности за итоговое решение.
