Представь себе понедельник, утро. Какая-нибудь компания - пусть твой банк, твой любимый таксосервис, неважно, выкатывает обновление. Программисты что-то поправили, нажали кнопку деплой, сходили за кофе.
Через час по их API ходит автономный агент. Программа на основе языковой модели. Не человек и без классического вируса в комплекте. Она ничего не атакует а просто составляет карту: вот эндпоинты, вот параметры, вот логика. Через четыре часа другой агент анализирует карту и ищет в ней логические аномалии - места, где разработчики не учли какую-то комбинацию входов. К концу дня третий агент пишет работающий эксплойт под найденную дыру, тестирует его, и терпеливо ждёт, пока в этом «уязвимом окне» наберётся достаточно жертв.
В среду в 14:00 атака запускается одновременно по всем. Шифровальщик заходит в корпсеть. К пятнице вы читаете новости.
Весь этот пайплайн - один питон-скрипт с API-ключом, запущенный одним человеком из квартиры. Работает 24/7.
И это то пересказ того, что Google уже фиксирует.
Май 2026: момент, когда всё стало серьёзно
Group Threat Intelligence Group, безопасники Google, пару недель назад опубликовали отчёт, который мейнстрим-СМИ практически проспали. А зря.
Они поймали первый в истории zero-day, сгенерированный искусственным интеллектом. Zero-day - это уязвимость, о которой ещё никто не знает, и патча от неё нет. Самая ценная категория дыр на чёрном рынке, продаётся за сотни тысяч долларов.
Дыра нашлась в популярном опенсорсном инструменте администрирования, конкретно - в механизме двухфакторной аутентификации. И что особенно паршиво: уязвимость была логическая. Никакая классика типа SQL-инъекции или переполнения буфера, которую ловят автоматические сканеры за пять минут. Код делал ровно то, что было написано в спецификации. Просто при определённой последовательности вызовов он ломался способом, который никто из живых людей не предусмотрел.
Это, блин, важный момент, и я хочу, чтобы ты его прочувствовал. Сканеры безопасности - SAST, DAST, всё это семейство - ищут известные паттерны. «Вот тут пользовательский ввод попадает в SQL без экранирования». «Вот тут пароль хранится в открытом виде». Логические уязвимости они не ловят, потому что для этого надо понимать бизнес-логику приложения. А понимать бизнес-логику умели только люди. До недавнего времени.
И не только Google это видит. В том же отчёте: северокорейская APT45, государственная хакерская группа, уже сегодня прогоняет через ИИ тысячи проверок эксплойтов конвейером. Под Android обнаружен зловред с очаровательным названием PromptSpy, который использует API Gemini, чтобы автономно ходить по заражённому устройству и в реальном времени генерировать команды под конкретные данные жертвы. Китайские госгруппы по слухам активно экспериментируют с ИИ для поиска уязвимостей, но публичных подтверждений меньше - китайцы вообще тише работают.
Цитата Джона Халтквиста, главного аналитика GTIG, в моём вольном пересказе: есть популярное заблуждение, что AI-гонка в кибербезопасности «вот-вот начнётся». На самом деле она уже идёт вовсю. На каждый zero-day, который безопасники могут связать с ИИ, приходится множество других, которые они просто не видят.
Это и есть тот момент, после которого старые правила игры закончились. Просто большинство ещё об этом не знает.
Почему человек проигрывает физиологически
Хочешь сказать «потому что ИИ умнее»? На деле всё проще и обиднее. Дело в ширине внимания.
Когда живой разработчик пишет API-эндпоинт, он держит в голове, ну, паттернов десять-двадцать известных уязвимостей. «Проверить авторизацию. Экранировать ввод. Не логировать пароли. Поставить rate limit». Хороший сеньор - больше. Параноик - ещё больше. Но это всё равно десятки.
Языковая модель в момент анализа кода держит в контексте тысячи известных уязвимостей. Конкретно сопоставляет твой код с базой паттернов одновременно. И разница с тобой - порядки.
В психологии есть классика - Миллер, 1956 год, про объём рабочей памяти человека. Семь плюс-минус два объекта. Это физиологический потолок, его не сдвинешь тренировками, сколько бы тебе ни обещали курсы по «прокачке мышления». Семь штук. Точка.
Поэтому когда читаешь, что «AI находит уязвимости лучше человека» - нейросеть не гениальнее тебя. У тебя в башке физически семь слотов, а у неё миллион. Ты можешь быть Магнусом Карлсеном программирования - всё равно проиграешь по охвату.
Особенно жестоко это работает на логических уязвимостях. На той самой ёбаной дыре в 2FA. Чтобы её найти, надо одновременно держать в голове весь граф вызовов функций и все возможные состояния системы. Человек так не умеет. Модель - умеет.
Mythos и Cyber: оружие, которое не дадут с улицы
Anthropic в этом году выпустил серию моделей под кодовым именем Mythos. У OpenAI есть свой аналог - серия Cyber. И тут начинается самое интересное.
Они умеют взламывать софт. Хорошим кодом тут и не пахнет - настоящие модели атакующего класса. И, симметрично, они умеют чинить дыры. Подключаешь Mythos к Claude Code, и у тебя в руках лучшее кибероружие, доступное на этой планете.
Доступа к ним с улицы нет. Anthropic и OpenAI не дают тебе просто заплатить и пользоваться. Надо пройти аудит компании. Объяснить, кто ты, зачем тебе, под какие задачи. Большинство читателей этой статьи никогда не увидят Mythos живьём - не потому что денег нет, а потому что им тупо не дадут реквизиты, куда эти деньги переводить даже если они есть.
Anthropic даже задержал релиз Mythos официально из-за киберугроз. Им страшно. Они понимают, что выпускают.
Это, кстати, сильно бьёт по китайским лабам. Китайские модели традиционно тренируются на синтетических датасетах, сгенерированных американскими моделями. Anthropic об этом прямым текстом пишет, что у них там воруют выходы. Не важно, збс это или не збс. Важно, что доступ к Mythos и Cyber по спискам замедляет появление их аналогов в опенсорсе минимум на год.
Замедляет, но не отменяет. Опенсорс-аналог Mythos появится. Это так же неизбежно, как то, что у тебя на ноуте стоит браузер. И вот в первый же месяц после этого релиза начнётся веселье, которое я описал ниже
Раскол интернета на два класса
После первой громкой агентской атаки на корпорацию интернет разделится. По доступу к защите.
Класс А. Партнёры OpenAI и Anthropic. Корпорации, которые прошли аудит и получили доступ к Mythos и Cyber. У них в продакшене работает агент-защитник, по умолчанию лучший кодинг-агент на планете, по совместительству - лучший эксперт по IT-безопасности в моменте. Он мониторит код 24/7, патчит дыры до того, как их найдёт чужой агент, генерирует тесты на атаки, которых ещё нет в природе.
Класс Б. Все остальные. Их сервисы атакуют непрерывно, потому что атаковать их выгодно - пайплайн копеечный, а целей сколько хочешь. Они звонят в Anthropic и просят помощи. И помощи им могут отказать.
Не союзник США? Иди нахуй.
Не поддержал стратегические интересы США? Иди нахуй.
Недостаточно крупный, чтобы считаться корпорацией? Тоже свободен.
Ну, вы поняли.
Будут, конечно, продукты попроще для тех, кто не в клубе. Защита второго эшелона. Но это будет та же история, что с обычными антивирусами против APT-групп: формально что-то есть, но если за тебя возьмутся всерьёз - формальной защиты не хватит.
Контр-аргумент, который мне сразу прилетит: «А как же опенсорс-аналог Mythos? Его же все скачают и поставят защитника бесплатно». Скачают. Поставят. Только модель, отстающая на 12–18 месяцев, против атакующей модели текущего поколения - это как драться кухонным ножом против автомата. Что-то можешь успеть, но в среднем ты труп.
Новое определение «легаси»
Раньше «легаси» - это код на старой технологии. Perl, COBOL, PHP 5, jQuery. Что-то, чьё время прошло, но что приходится поддерживать, потому что переписать дороже.
Это определение больше не работает.
Легаси теперь - это код, написанный руками человека. На любом языке, любом фреймворке, любого возраста. Хоть вчера написанный.
Я открываю собственные репозитории годовой давности. Стек тот же, что и сегодня. Фреймворк тот же. Я тогда был не глупее, чем сейчас, и руки росли из того же места. И всё равно я вижу там логические дыры, которых сегодня бы не допустил - потому что у меня теперь рядом сидит агент, который про эти дыры знает.
Места, где я не проверил граничный случай. Места, где race condition между двумя запросами никогда не воспроизводился у меня локально, но мог сработать раз в неделю в проде. Места, где валидация инпута выглядела достаточной, пока я не увидел, как агент описывает три способа её обойти.
И вот это, мне кажется, главный концептуальный поворот. Устаревает не язык программирования. или например фреймворк. Устаревает способ написания кода в одиночку.
Похоже на историю с HTTPS. В 2010 году ставить HTTPS на сайт было опцией для параноиков. В 2018 году Chrome начал помечать HTTP-сайты как «небезопасные». В 2024 - все уже забыли, что когда-то было иначе. С AI-агентами будет тот же путь, только сжатый по времени. Сегодня - модная штука для прогрессивных команд. Через полгода - требование при найме выше джуна. Через год - обязательное условие для прохождения аудита безопасности. Через два года - писать прод-код без агента это профессиональная халатность. В юридическом, чёрт возьми, смысле.
Халатность. То самое слово, которым в суде описывают врача, который не помыл руки перед операцией. Аудитор не покрутит у виска - он напишет в отчёте, что компания не соблюдала индустриальный стандарт. И страховая откажет в выплате после инцидента.
Деньги, которые ещё не начали зарабатывать
Все вокруг спорят, пузырь сейчас в AI или не пузырь. Honestly, this misses the point.
Сегодня OpenAI и Anthropic продают API программистам за двадцать долларов в месяц. Разогрев, не более. Они приучают рынок к продукту, как Amazon когда-то продавал книги в убыток, чтобы захватить долю.
Настоящие деньги начнутся, когда первая Fortune-500-компания ляжет от агентской атаки. И вот тогда совет директоров другой Fortune-500-компании соберётся на экстренное заседание и единогласно проголосует за подписание контракта на агента-защитника. Любая цена. Сейчас. Без обсуждения.
Бизнес-модель будет похожа на Palantir. Контракты на сотни миллионов в год за крупного клиента, с персональным аккаунт-менеджером, с выделенной командой, с SLA на реагирование в минутах.
И вот когда такие контракты выстроятся в очередь - а они выстроятся, потому что альтернатива «лечь от шифровальщика» хуже любой цены - выручка OpenAI и Anthropic взлетит на порядок.
Пузырь там был или не пузырь, технически становится неважно. Цифры в отчётах закроют любой вопрос.
И знаешь, что ещё забавно? Спор «нужны ли AI-кодинг-агенты в нашей компании» в любом IT-департаменте мира закончится за один день. В день первого крупного инцидента. До этого можно сколько угодно обсуждать «слоп», «галлюцинации», «ревьювить за нейросетью некому» - всё это испарится за сутки, как только в новостях появится конкретная компания с конкретными убытками.
Что делать прямо сейчас
Окей, апокалипсис описали. Теперь практика, чтобы не быть тем самым джуном, который пишет код руками в 2027 году.
Перестань игнорировать агентов. «Попробовал Copilot два года назад, не зашло» - это как сказать «попробовал интернет в 1996, не понял». Поставь Claude Code или Cursor. Встрой в ежедневный воркфлоу. Привыкай не «писать код», а «договариваться с агентом о решении».
Сделай аудит своей кодовой базы по критичности. Раздели на три зоны: публично доступные API, внутренние сервисы, скрипты для себя. Высший приоритет защиты - то, что торчит в публичный интернет. Туда атакующие агенты придут в первую очередь, потому что окупаемость лучше.
Для нового кода в публичных API переходи на pair programming с агентом. Дело не в том, что он лучше тебя пишет - у него ширина внимания на порядки больше твоей. Он увидит то, что ты не увидишь, физиологически.
Старый код прогони через AI-аудит. Будет ложноположительных срабатываний - будут. Но и реальные дыры тоже найдутся. Лучше сейчас, чем когда тебя взломают первым.
Заложи бюджет на AI security tooling. Сегодня это звучит как «дай денег на блажь». Через полгода это будет звучать как «дай денег на антивирус». Через год - как «дай денег на SSL-сертификат».
Если ты нанимаешь - пересмотри собес. Хватит спрашивать «реализуй reverse linked list на доске». Дай кандидату Claude и задачу. Смотри, как он с ним общается, как ревьюит вывод, где спорит, где соглашается. Этот навык будет важнее знания алгоритмов сортировки.
Я не пророк, я могу ошибаться в сроках. Может, не год, а полтора. Может, не от шифровальщика, а от утечки. Но направление, в которое мы катимся, мне кажется очевидным до зевоты.
Те, кто адаптируется первыми, через пару лет будут смотреть на остальных так же, как сегодня смотрим на тех, кто всё ещё пишет почту на бумаге и отправляет факсом. С недоумением и лёгкой жалостью.
Те, кто не адаптируется, будут долго объяснять страховой компании, почему их прод лежал три дня.
А ты в какой группе планируешь оказаться?