ИИ-хакер, который не спит
Представьте, что вашу сеть взламывает не человек, а языковая модель. И не какая-нибудь, а Qwen3.5-27B — нецензурированная версия, которая не моргнет глазом при генерации эксплойтов.
На этой неделе группа исследователей из Offensive AI Lab выложила отчет, от которого волосы встают дыбом. Они заставили модель автоматизировать рутинный пентест-ранубук. И она не просто его выполнила. Она нашла три неизвестных (zero-day) вектора атаки в тестовом окружении. Спонтанно. Без подсказок.
Важно: Qwen3.5-27B-Instruct — это нецензурированная модель. В отличие от своих «воспитанных» собратьев, она не откажется генерировать вредоносный код или эксплойты. Именно это и нужно для реалистичного red teaming, но это же делает ее чертовски опасной в чужих руках.
Что они использовали? Железо и софт
Станция — не суперкомпьютер. Обычная система с RTX 4090 и 64 ГБ ОЗУ. Модель Qwen3.5-27B-Instruct загрузили в LM Studio версии 0.3.9 (последняя на март 2026-го). Квантование — GGUF Q6_K. Почему не Q4? Потому что, как показало недавнее исследование, 4-битное квантование ломает цепи рассуждений (CoT) в сложных задачах. А пентест — это сплошные цепи рассуждений.
Сердце системы — OpenCode harness, фреймворк для исполнения AI-генеррированного кода в изолированном окружении. Его последняя версия (2.1) как раз получила улучшенную sandbox-защиту. (Кстати, для коммерческого развертывания есть OpenCode Pro с расширенным мониторингом).
Как это работало? Не так, как вы думаете
Исследователи не писали тонкие промпты. Они дали модели доступ к документации внутреннего API тестовой компании (вымышленной) и стандартный runbook пентестера: «сканировать порты, найти уязвимости, попытаться эскалировать привилегии».
Первый час Qwen действовала по учебнику. Генерировала Nmap скрипты, пробовала стандартные эксплойты для найденных версий ПО. Скучно. Этим может заняться любой скрипт на Python.
А потом случилось странное. Модель, анализируя логи ошибок от одного из микросервисов, самостоятельно вывела шаблон его внутренней работы. Она не имела доступа к исходному коду! Но, сопоставляя тайминги ответов и сообщения об ошибках при разных запросах, она предположила наличие race condition в механизме блокировки учетных записей.
И она была права. Это был первый неизвестный вектор.
«Творчество» ИИ — это страшно
Второй и третий векторы были еще интереснее. Qwen, вместо того чтобы искать публичные CVE, начала комбинировать низкорисковые уязвимости (например, нестрогая проверка MIME-типов при загрузке аватара) с особенностями конфигурации конкретного Kubernetes-кластера (обнаруженными через утечку в метриках).
Результат — возможность выполнить код на control-plane ноде. Ни одна из этих дыр по отдельности не считалась критической. Вместе — цепочка для полноценного взлома.
«Мы не ожидали такого уровня абдуктивного мышления, — пишет в отчете ведущий исследователь. — Модель действовала не как поисковик по базе знаний, а как аналитик, выстраивающий гипотезы. Она придумала атаку, которой не было в ее тренировочных данных».
Звучит как хвастовство, но факты есть. И они перекликаются с результатами тестов других opensource-моделей для red teaming. Нецензурированные LLM начинают превосходить скриптовые фреймворки в нестандартных ситуациях.
Что это значит для индустрии безопасности?
Три вывода. Неочевидных.
- Автоматизация пентеста ускорится в разы. Но не за счет быстрого выполнения шагов, а за счет способности модели находить связи между, казалось бы, несвязанными артефактами. Runbook из линейного сценария превращается в дерево возможностей.
- Киберзащита должна готовиться к «творческому» ИИ-противнику. Статические анализаторы и сигнатуры не поймают атаку, которую только что придумали на лету. Нужен упор на behavioral analysis и AI-driven detection.
- Этический вопрос становится острее. Модели типа Qwen3.5-27B-Instruct, Pingu Unchained или свежие нецензурированные версии DeepSeek — это dual-use технологии в чистом виде. Их распространение требует контроля, но тотальный запрет затормозит исследования.
Что делать прямо сейчас? Если вы занимаетесь безопасностью, попробуйте запустить подобный эксперимент в контролируемой среде. (Для обучения есть специализированный курс по использованию AI для пентеста). Начните с малого: автоматизируйте с помощью модели одну рутинную задачу, например, анализ результатов сканирования.
Что дальше? Прогноз от калькулятора
Через год, к марту 2027-го, мы увидим первые коммерческие продукты для AI-led penetration testing. Они будут дорогими, заточенными под корпорации. А в подполье появятся «пентест-бои» на базе дообученных нецензурированных моделей, соревнующихся в поиске уязвимостей в opensource-проектах. И да, кто-то обязательно попытается использовать эту технологию в черных целях. Это не вопрос «если», а вопрос «когда».
Совет простой: не игнорируйте эту тенденцию. Изучайте, как работают эти модели. Потому что ваш следующий противник — или ваш следующий сотрудник — может не пить кофе и не спать по ночам. Он будет просто выполнять инструкции. С пугающей изобретательностью.
