В России появился первый ИИ-пентестер
Разработчик решений по управлению уязвимостями и цифровыми угрозами в реальном времени CICADA8 представил первого отечественного ИИ-пентестера — агентную систему для проведения автоматизированной проверки на проникновение. Решение предназначено для поиска сложных уязвимостей во внешнем периметре и пользовательских сценариев, которые не выявляются классическими сканерами. С его помощью достигается кратное увеличение комплексных проверок всей поверхности атаки без расширения ИБ-команд, что становится фундаментальным вызовом в эру активного развития искусственного интеллекта и новых киберугроз.
ИИ-пентестер CICADA8 работает внутри согласованных границ цифрового контура (scope), опираясь на данные о внешних активах, результаты сканирования и информацию об уже известных уязвимостях. Система формирует и проверяет гипотезы, а также анализирует периметр не только с точки зрения наличия известных уязвимостей (CVE), но и с позиции опытного эксперта по безопасности: она ищет, как именно можно использовать приложение, API или сервис в рамках реального сценария атаки.
Решение способно анализировать контекстные сценарии. ИИ-пентестер CICADA8 работает с бизнес-логикой, механизмами аутентификации и авторизации, а также исследует поведение приложений под учетными записями. Это позволяет выявлять уязвимости, возникающие в результате комплекса факторов, а не отдельных технических ошибок. Система также поддерживает стандарты OWASP Top 10 и типовые проверки web-приложений и API.
Важным принципом при разработке решения стала независимость его архитектуры от конкретной языковой модели. ИИ-пентестер CICADA8 поддерживает использование как локальных российских, так и зарубежных моделей. Это обеспечивает гибкость в развертывании продукта и позволяет заказчикам использовать его без ограничений. Такой подход учитывает быстрое развитие рынка LLM, отраслевые требования к работе с данными, а также различия в сильных сторонах моделей — от анализа кода до reasoning и работы с длинным контекстом.
Качество пентестинга проверяется на нескольких уровнях. Помимо контроля соответствия отраслевым бенчмаркам OWASP Top 10, решение регулярно проверяется в лабораторных задачах, что позволяет отслеживать стабильность и отсутствие регрессий.
Но ключевым способом валидации остается практическое применение – подходы и сценарии регулярно применяются на российских и международных Bug Bounty-площадках, где исследователи получают вознаграждение за найденные ошибки кибербезопасности – разработка CICADA8 уже обнаружила уязвимостей на более чем $20 000. В таких условиях можно обеспечить независимость проверки и избежать ограничений тестов по уже известным сценариям атак.
На текущий момент решение доступно в нескольких форматах. ИИ-пентестер может использоваться как дополнительный модуль к платформе ETM CICADA8, что обеспечит регулярный анализ внешнего периметра на основе уже собранных данных. Частоту проверок можно настроить индивидуально – тестирование может осуществляться как периодически, так и регулярно в режиме непрерывного анализа 24/7.
Другой формат предполагает предоставление ИИ-пентетера CICADA8 как услуги — по модели разовой проверки, например перед запуском нового продукта или после значительных изменений в инфраструктуре, или как регулярного ИБ-аудита.
«Идея разработки ИИ-пентестера возникла в первую очередь как ответ на изменения в ландшафте киберугроз. С распространением сильных LLM порог входа в поиск уязвимостей существенно снизился, в том числе для злоумышленников. Хакеры уже используют искусственный интеллект для анализа инфраструктуры, за счет новых технологий порог входа для этого понизился, а время, которое требуется на взлом, сократилось с недель до пары часов. В этих условиях компаниям требуется новый слой защиты, дополняющий уже существующие инструменты — ASM, ETM, сканеры и ручной пентест. На наш взгляд, спрос на такие инструменты будет увеличиваться, прежде всего со стороны крупного бизнеса», — отметил Сергей Колесников, директор продуктового портфеля и сервисов CICADA8.


