Эксперты «Кросс технолоджис»: Более 40% атак на ИИ-модели связаны с prompt injection

Эксперты «Кросс технолоджис» и Infera Security заявили, что в первом квартале 2026 года число атак, где ИИ стал частью поверхности атаки, выросло как минимум вдвое по сравнению с тем же периодом 2025 года. Пока доля таких инцидентов в общем и целом потоке кибератак остается маленький — около 1–2%, а в наиболее зрелых по ИИ отраслях доходит до 4–5%.

Самый частый сценарий — prompt injection. По оценке экспертов, на такие атаки приходится более 40% случаев. Суть в том, что злоумышленник подсовывает модели вредоносные инструкции и заставляет ее игнорировать исходные правила работы. Это может происходить как напрямую в запросе, так и через внешние информация, которые схема обрабатывает автоматически.

Еще около 25% атак связаны с попытками вытащить из модели чувствительные информация — в частности, информацию из контекста RAG, внутренние документация, персональные или финансовые сведения. Еще около 20 процентов приходится на data poisoning — загрязнение обучающих данных, когда в датасеты заранее внедряют искаженные информация, чтобы потом изменить поведение модели или заложить бэкдор.

Другие новости и материалы по AI — в Telegram-канале NH | Новости технологий, AI и будущее.

Чаще всего такие атаки затрагивают финтех, ИТ, медицину, промышленность и ритейл — то есть те сферы, где ИИ уже встроен в реальные бизнес-процессы и работает с чувствительными данными. Именно поэтому интерес злоумышленников к таким системам будет только расти.

Отдельно важно, что в России тема уже начала закрепляться и на уровне регулирования. С 1 марта 2026 года вступил в силу приказ ФСТЭК №117, где в первый раз прямо зафиксирована необходимость защиты ИИ-моделей, обучающих датасетов, параметров и сервисов принятия решений.

По существу, рынок переходит в новую фазу: ИИ больше нельзя воспринимать как просто удобный слой поверх сервиса. Если модель встроена в продукт или бизнес-процесс, она уже становится полноценной частью атакуемой инфраструктуры.