GenAI Exploit Round-up Report Q1 2026

Консорциум OWASP опубликовал GenAI Exploit Round-up Report Q1 2026 — и это, пожалуй, один из самых показательных материалов о том, как быстро ИИ-риски перешли из теории в практику. В отчёт вошли инциденты за период с 1 января по 11 апреля 2026 года, а сам документ вышел 14 апреля 2026 года. Авторы собрали 8 заметных кейсов и прямо фиксируют сдвиг: главная задача уже не только в «неправильных ответах» моделей, а в идентичностях агентов, оркестрации, правах доступа и уязвимостях цепочки поставок.

Что особенно важно: в реальных инцидентах ИИ всё чаще выступает ускорителем атак. В отчёте фигурируют кейсы, где AI-инструменты помогали автоматизировать разведку и эксплуатацию, агенты совершали разрушительные действия без должного подтверждения, а ошибки в доверенных корпоративных AI-сценариях приводили к утечкам данных и опасным изменениям внутри инфраструктуры. Среди примеров — взлом мексиканских госструктур с использованием Claude-assisted workflow, инцидент с OpenClaw, удалявшим письма, внутренняя утечка данных в Meta, а равным образом злоупотребление привилегиями в Vertex AI.

Отдельная линия — supply chain и AI-платформы как новая зона высокого риска. OWASP указывает на утечку исходников Claude Code через открытый source map и последовавшие malware-приманки, на инцидент вокруг Mercor/LiteLLM, а равным образом на активную эксплуатацию критической уязвимости Flowise CVE-2025-59528, которая позволяла выполнить произвольный исходник через CustomMCP-конфигурацию. Вдобавок исследователи описали GrafanaGhost — путь для косвенной prompt injection и эксфильтрации данных через AI-функции Grafana.

Главный вывод: большинство AI-инцидентов пока вообще плохо укладываются в классическую CVE-логику. Это не всегда «одна конкретная дыра», а чаще комбинация избыточных полномочий, слабых границ доверия, небезопасной интеграции инструментов, плохой валидации и слишком высокой уверенности людей в действиях агента. Иначе говоря, защищать нужно уже не только схема, а всю систему вокруг неё — доступы, контекст, инструменты, пайплайны и процессы принятия решений.

Для бизнеса и ИБ-команд сигнал предельно понятный: эпоха «поиграемся с AI-агентами в песочнице» закончилась. Если агент может читать почту, менять настройки, ходить во внешние сервисы, работать с кодом или данными — его нужно рассматривать как привилегированный и потенциально опасный компонент инфраструктуры. Без жёстких approval-механизмов, сегментации, least privilege и контроля цепочки поставок следующий громкий кейс — вопрос времени.