По итогам второго квартала 2026 года подобные атаки могут составить до 20% всех инцидентов, затрагивающих российский бизнес.
По мнению эксперта, рост угроз связан с тем, что уязвимых ИИ-инструментов для разработки становится больше, а сами они все активнее распространяются среди программистов.
Один из недавних случаев был связан с тикетом на GitHub, который обработал ИИ-бот, подключенный к системе автоматизации. Бот выполнил вредоносную инструкцию, размещенную в заголовке тикета, извлек GITHUB_TOKEN и передал его злоумышленникам. В результате за восемь часов вредоносное ПО оказалось примерно на 4000 компьютеров разработчиков по всему миру.
Козлов отметил, что около 15% навыков для ИИ-агентов, размещенных в публичных маркетплейсах, содержат как минимум одну критическую уязвимость.
По его словам, злоумышленникам теперь не всегда нужно атаковать самого человека — достаточно ввести в заблуждение ИИ-агента. Хакеры могут загружать в маркетплейсы вредоносные файлы под видом профессиональных инструментов, тогда как действующие системы модерации пока не способны надежно выявлять такие угрозы.
В компании такие схемы называют новым типом атак — Agent Supply Chain Attack. Главная уязвимая зона, по оценке специалистов, находится на стыке ИИ-ботов, CI/CD-сред, то есть инструментов для автоматизации разработки и доставки программного обеспечения, а также доступа к токенам и другим секретным данным.
В «Спикателе» считают, что российские разработчики находятся в зоне повышенного риска из-за широкого использования open-source фреймворков, ИИ-инструментов и публичных репозиториев. Это связано, в том числе, с ускоренным импортозамещением и нехваткой готовых решений.
Компания рекомендует пересмотреть действующие политики безопасности, внедрить процедуры безопасной разработки и запретить ИИ-агентам автоматически выполнять операции с токенами и секретными данными без подтверждения со стороны человека.
