Эксперты «Кросс технолоджис»: Более 40% атак на ИИ-модели связаны с prompt injection

Эксперты «Кросс технолоджис» и Infera Security заявили, что в первом квартале 2026 года число атак, где ИИ стал частью поверхности атаки, выросло как минимум вдвое по сравнению с тем же периодом 2025 года. Пока доля таких инцидентов в общем потоке кибератак остается небольшой — около 1–2%, а в наиболее зрелых по ИИ отраслях доходит до 4–5%.

Самый частый сценарий — prompt injection. По оценке экспертов, на такие атаки приходится более 40% случаев. Суть в том, что злоумышленник подсовывает модели вредоносные инструкции и заставляет ее игнорировать исходные правила работы. Это может происходить как напрямую в запросе, так и через внешние данные, которые модель обрабатывает автоматически.

Еще около 25% атак связаны с попытками вытащить из модели чувствительные данные — например, информацию из контекста RAG, внутренние документы, персональные или финансовые сведения. Еще примерно 20% приходится на data poisoning — загрязнение обучающих данных, когда в датасеты заранее внедряют искаженные данные, чтобы потом изменить поведение модели или заложить бэкдор.

Другие новости и материалы по AI — в Telegram-канале NH | Новости технологий, AI и будущее.

Чаще всего такие атаки затрагивают финтех, ИТ, медицину, промышленность и ритейл — то есть те сферы, где ИИ уже встроен в реальные бизнес-процессы и работает с чувствительными данными. Именно поэтому интерес злоумышленников к таким системам будет только расти.

Отдельно важно, что в России тема уже начала закрепляться и на уровне регулирования. С 1 марта 2026 года вступил в силу приказ ФСТЭК №117, где впервые прямо зафиксирована необходимость защиты ИИ-моделей, обучающих датасетов, параметров и сервисов принятия решений.

По сути, рынок переходит в новую фазу: ИИ больше нельзя воспринимать как