В модуле 42 описывается, как злоумышленники могут использовать возможности агентского ИИ для увеличения скорости атак в 100 раз.
Интеграция ИИ в противоборствующие операции фундаментально меняет скорость, масштаб и сложность атак. По мере развития возможностей защиты ИИ развиваются и стратегии и инструменты ИИ, используемые субъектами угроз, создавая быстро меняющийся ландшафт угроз, который опережает традиционные методы обнаружения и реагирования. Эта ускоряющаяся эволюция требует критического изучения со стороны руководителей высшего звена того, как субъекты угроз будут стратегически использовать ИИ в качестве оружия на каждом этапе цепочки атак.
Одним из самых тревожных изменений, которые мы наблюдали после внедрения технологий ИИ, стало резкое падение среднего времени эксфильтрации (MTTE) данных после первоначального доступа. В 2021 году среднее MTTE составляло девять дней. Согласно нашему отчету Unit 42 2025 Global Incident Response Report , к 2024 году MTTE сократилось до двух дней. В каждом пятом случае время от компрометации до эксфильтрации составляло менее 1 часа.
В нашем тестировании Unit 42 смог смоделировать атаку с использованием вируса-вымогателя (от первоначального взлома до извлечения данных) всего за 25 минут, используя ИИ на каждом этапе цепочки атаки. Это 100-кратное увеличение скорости, полностью реализованное на ИИ .
Недавняя активность угроз, зафиксированная Подразделением 42, продемонстрировала, как злоумышленники используют ИИ в атаках:
- Социальная инженерия с использованием Deepfake была замечена в кампаниях таких групп, как Muddled Libra (также известных как Scattered Spider), которые использовали сгенерированные ИИ аудио- и видеоматериалы, чтобы выдавать себя за сотрудников во время мошеннических действий в службе поддержки.
- Северокорейские ИТ-специалисты используют технологию deepfake в реальном времени для проникновения в организации через удаленные рабочие места, что создает значительные риски для безопасности, права и соответствия требованиям.
- Злоумышленники используют генеративный ИИ для ведения переговоров о вымогательствах, преодоления языковых барьеров и более эффективного согласования более высоких сумм выкупа.
- Помощники по повышению производительности на базе искусственного интеллекта используются для идентификации конфиденциальных учетных данных в средах жертв.
Значительным этапом эволюции стало появление агентного ИИ — автономных систем, способных принимать решения, учиться на результатах, решать проблемы и итеративно улучшать свою производительность без вмешательства человека. Эти системы обладают потенциалом для самостоятельного выполнения многошаговых операций, от определения целей до адаптации тактики во время атаки. Это делает их особенно опасными. По мере того, как агентные модели становятся более доступными, можно ожидать всплеска автоматизированных, самоуправляемых кибератак, которые быстрее, более адаптивны и все труднее сдерживать.
Подразделение 42 компании Palo Alto Networks занимается исследованием и разработкой фреймворка Agentic AI Attack, который демонстрирует, как эти возможности позволяют выполнять атаки с минимальным участием злоумышленника.
Благодаря нашим исследованиям мы можем продемонстрировать, насколько легко эта технология может быть направлена против предприятий и выполнять атаки с беспрецедентной скоростью и масштабом. Со временем Unit 42 интегрирует эти возможности в наши упражнения по фиолетовому командованию, чтобы вы могли протестировать и улучшить защиту своей организации от атак Agentic AI. Появление агентного ИИ — это не просто теоретический риск; это стремительно развивающаяся реальность, которая поставит под сомнение подход вашей организации к обнаружению, реагированию и смягчению угроз.
Цепочка атак с использованием агентного ИИ
Подразделение 42 полагает, что злоумышленники будут использовать Agentic AI для создания специализированных агентов с опытом в определенных этапах атаки. При объединении в цепочку эти агенты AI могут автономно тестировать и выполнять атаки, корректируя тактику в реальном времени на основе обратной связи. В ближайшем будущем мы ожидаем увидеть рост нового класса противников, работающих на Agentic AI. Эти злоумышленники Agentic AI не просто будут помогать с частями атаки, но и смогут планировать, адаптироваться и выполнять целые кампании, от начала до конца с минимальным человеческим руководством. Ниже мы рассмотрим, как агентский ИИ изменит ключевые тактики в цепочке атак, с учетом того, что Подразделение 42 видит в реальных условиях, и как помочь защититься от них.
Разведывательный ИИ-агент — всегда наблюдает, всегда учится
Традиционная разведка: разведка часто была одноразовым шагом — запустить несколько скриптов, покопаться в LinkedIn, проверить GitHub и, возможно, выполнить некоторую пассивную работу DNS. Она была ограничена по времени, ручная и шумная.
Агенты разведки на основе ИИ: агенты разведки работают постоянно и автономно. Они сами подсказывают: «Какие данные мне нужны, чтобы определить слабое место в этой организации?» Затем они собирают их из социальных сетей, данных о нарушениях, раскрытых API и неправильных конфигураций облака. Если цель меняется (новый сотрудник, новый портал поставщика, утечка ключа), агент переоценивает и обновляет свою стратегию.
Пример: Агент выбирает целевую организацию и постоянно просматривает объявления о вакансиях от этой организации. Он находит некоторые списки вакансий и делает вывод, что компания использует SAP. Он проверяет поддомены, находит промежуточный сервер SAP и сопоставляет его с недавним CVE. Затем он переключается на LinkedIn, идентифицирует ИТ-персонал среднего звена и помечает их как фишинговые, адаптируя свою стратегию разведки на лету.
Первоначальный доступ к AI Agent — персонализированное многоканальное вторжение
Традиционный начальный доступ: Злоумышленники сосредотачиваются на тактиках, таких как массовый фишинг, подстановка учетных данных или сканирование уязвимостей. Если один метод не срабатывал, кампания часто терпела неудачу или требовала ручного перенацеливания.
Начальный доступ к агентскому ИИ: Агентские системы не просто пробуют один раз. Они генерируют фишинговые приманки, используя LLM, адаптированные под индивидуальные цели с тоном, языком и контекстом. Если первая попытка не удалась, они сами подсказывают: «Какие альтернативные каналы или сообщения могли бы работать лучше?» Затем они пытаются снова с помощью SMS, LinkedIn или поддельного приглашения на видеоконференцию. Попытки эксплуатации столь же адаптивны, когда ИИ сопоставляет CVE с обнаруженными технологическими стеками в режиме реального времени.
Пример: финансовый директор игнорирует первоначальное фишинговое письмо. Агент переписывает сообщение в более непринужденном тоне, ссылается на недавний пресс-релиз компании и доставляет его через поддельный чат Microsoft Teams, тем самым повышая свои шансы с каждой итерацией.
Исполнительный ИИ-агент — интеллектуальные полезные нагрузки, которые ждут и учатся
Традиционное исполнение: Полезные нагрузки выполнялись сразу после запуска. Не было проверки контекста, не было принятия решений в реальном времени. И был высокий риск попасть в песочницу.
Исполнение агентского ИИ: Агенты исполнения могут наблюдать, прежде чем действовать. Они проверяют, где они находятся, кто пользователь и какие инструменты безопасности активны, затем выбирают подходящий путь исполнения. Если один метод не удается (например, заблокированный скрипт, ограниченные привилегии), агент спрашивает себя: «Какой следующий жизнеспособный путь?» Затем он пытается снова.
Пример: полезная нагрузка попадает на компьютер пользователя, но приостанавливает выполнение. Агент проверяет: «Пользователь в финансах? Активен ли EDR? Рабочие часы?» На основе ответов он решает внедриться в доверенный процесс и отложить выполнение, пока пользователь не откроет Outlook, сливаясь с обычным поведением, чтобы избежать обнаружения.
Агент ИИ Persistence — Живи долго и тихо
Традиционная стойкость: стойкость раньше опиралась на один или два метода — запланированные задачи, ключи реестра, импланты папки автозагрузки. Если защитники замечали и очищали их, доступ терялся.
Агентское ИИ-постоянство: агенты выбирают механизмы сохранения динамически на основе состояния конечной точки. Они устанавливают избыточные опорные пункты (в облачных платформах, расширениях браузера и токенах идентификации) и отслеживают их удаление. Если один из них сгорит, агент сам исправляется: «Активирован резерв. Восстановление доступа».
Пример: Агент добавляет ключ запуска в куст реестра пользователя-администратора и одновременно планирует скрытую задачу с использованием доверенного системного двоичного файла. Несколько дней спустя ключ запуска удаляется во время сканирования безопасности. Агент обнаруживает удаление, снова запрашивает себя и воссоздает ключ реестра со скрытыми значениями, используя запланированную задачу для отката в качестве триггера, чтобы оставаться постоянным и незамеченным.
Агент искусственного интеллекта для уклонения от защиты — учимся прятаться на лету
Традиционное уклонение от защиты: запутать полезную нагрузку. переименовать двоичный файл. внедрить в общий процесс. Если что-то было обнаружено, переоснащение требовало времени и усилий.
Уклонение от защиты от агентского ИИ: вредоносное ПО агента самопереписывается. Если его помечает EDR или антивирус, оно переобучается на техниках уклонения, перекомпилируется и повторно развертывается. Оно побуждает себя тестировать альтернативные пути выполнения, кодировать трафик по-другому или переходить на резервные протоколы C2.
Пример: DNS-фильтрация помечает вредоносный маяк. Агент немедленно переписывает свой трафик, чтобы слиться с зашифрованными обновлениями Windows, меняет свое поведение и возобновляет exfil, не вызывая дважды одного и того же обнаружения.
Discovery AI Agent — тихое внутреннее картирование
Традиционное обнаружение: запуск сканирования. Сброс информации о пользователе. Использование стандартных инструментов, таких как SharpHound или BloodHound — эффективные, но шумные и часто ограниченные по времени.
Agentic AI Discovery: Агенты Discovery пассивно и выборочно зондируют. Они отслеживают внутренний трафик, перечисляют системы с помощью собственных команд и расставляют приоритеты для целей. Если они заблокированы, они перепланируют: «Какие пути доступа все еще открыты?» Процесс продолжается до тех пор, пока не будет нанесен на карту жизнеспособный маршрут к драгоценностям короны.
Пример: Агент определяет неправильно настроенный сервер разработки и использует его для доступа к кластеру резервного копирования производства. Он анализирует имена папок, размеры файлов и шаблоны пользователей, чтобы решить, что стоит взять, и все это время имитирует легитимную внутреннюю активность пользователя.
Агент искусственного интеллекта для эксфильтрации — умный, скрытный и быстрый
Традиционный Exfil: Exfil обычно был медленным и тупым — сжимал все, сбрасывал на FTP-сервер или отправлял через потоковую службу файлов. Большие полезные нагрузки означали большие риски обнаружения.
Agentic AI Exfil: Агенты по эксфильтрации сначала проводят свое исследование. Они выявляют ценные данные, расставляют их по приоритетам и проверяют несколько скрытых путей. Они ограничивают трафик, встраиваются в санкционированные протоколы приложений и чередуют каналы в случае блокировки. Такой тип автоматизации позволил Unit 42 смоделировать полную атаку с использованием программ-вымогателей всего за 25 минут, от компрометации до эксфильтрации. Agentic AI сжал полный жизненный цикл атаки до одного обеденного перерыва.
Например: Агент идентифицирует конфиденциальные документы интеллектуальной собственности, сжимает и шифрует их, затем начинает эксфильтрацию небольшими порциями через бота Slack. Когда канал блокируется в процессе передачи, он сам себя подсказывает, переключается на встраивание данных в исходящие синхронизации OneDrive и возобновляет работу, завершая миссию без срабатывания оповещений.
Атаки с использованием агентского ИИ требуют защиты с использованием ИИ
Темпы развития ИИ ускоряются так быстро, что то, что поставщики безопасности и злоумышленники могут делать с ИИ, меняется с каждым днем. Агентный ИИ обладает способностью переосмысливать и выполнять атаки в большем масштабе и на большей скорости. Эти агенты настойчивы, адаптивны и пугающе эффективны. Они не устают, не делают опечаток и не остановятся, пока не добьются успеха. В подразделении 42 мы уже видим признаки этого сдвига — экспериментальные образцы вредоносных программ, наборы для невмешательства и активные исследования в области автономных инструментов Red Teaming. Послание ясно: угрозы будущего не будут ждать операторов-людей. Они будут действовать самостоятельно. Хотя Unit 42 разработал один пример структуры атаки Agentic AI в рамках нашего исследования наступательной безопасности, мы ожидаем, что именно так субъекты угроз будут осуществлять атаки в будущем, если они уже не тестируют эту технологию сегодня. Включение этих же методологий в наши упражнения по фиолетовому командованию позволяет нам более эффективно тестировать средства управления безопасностью вашей организации и, учитывая скорость атак Agentic AI, проводить больше симуляций за меньшее время, в конечном итоге укрепляя вашу позицию безопасности. При работе с киберугрозами, усиленными ИИ, важно осознавать, что мы все еще находимся в точке, где ИИ служит усилителем для традиционных методов атак, а не фундаментально меняет их. Хотя частота и простота выполнения определенных атак могут увеличиться, основополагающие стратегии эффективного обнаружения и реагирования по-прежнему остаются сильными. Вам нужны решения по безопасности, которые также используют ИИ и могут развиваться так же быстро, как и угрозы.
Unit 42 может помочь вам проактивно подготовиться к угрозам, связанным с ИИ, и многому другому с помощью наших проактивных услуг, реагирования на инциденты и управляемых решений безопасности. Для получения дополнительной информации посетите наш веб-сайт .
Заявления о перспективах
Этот блог содержит прогнозные заявления, которые включают риски, неопределенности и предположения, включая, без ограничений, заявления относительно преимуществ, влияния или производительности или потенциальных преимуществ, влияния или производительности наших продуктов и технологий или будущих продуктов и технологий. Эти прогнозные заявления не являются гарантией будущих результатов, и существует значительное количество факторов, которые могут привести к тому, что фактические результаты будут существенно отличаться от заявлений, сделанных в этом блоге, включая, без ограничений: развитие и изменения общих рыночных, политических, экономических и деловых условий; риски, связанные с управлением нашим ростом; риски, связанные с новыми продуктами и предложениями по подписке и поддержке; сдвиги в приоритетах или задержки в разработке или выпуске новых предложений или неспособность своевременно разрабатывать, выпускать и добиваться принятия рынком новых продуктов и подписок, а также существующих продуктов и предложений по подписке и поддержке; провал наших бизнес-стратегий; быстро развивающиеся технологические разработки на рынке продуктов безопасности и предложений по подписке и поддержке; решения наших клиентов о покупке и продолжительность циклов продаж; наша конкуренция; наша способность привлекать и удерживать новых клиентов; и наша способность приобретать и интегрировать другие компании, продукты или технологии. Мы идентифицируем некоторые важные риски и неопределенности, которые могут повлиять на наши результаты и производительность в нашем последнем годовом отчете по форме 10-K, нашем последнем квартальном отчете по форме 10-Q и наших других отчетах в Комиссию по ценным бумагам и биржам США время от времени, каждый из которых доступен на нашем веб-сайте investors.paloaltonetworks.com и на веб-сайте SEC www.sec.gov. Все прогнозные заявления в этом блоге основаны на информации, доступной нам на дату настоящего документа, и мы не берем на себя никаких обязательств по обновлению предоставленных прогнозных заявлений для отражения событий, которые происходят, или обстоятельств, которые существуют после даты, на которую они были сделаны.