Google расширила возможности Google Threat Intelligence — своей платформы для анализа киберугроз. Теперь в её агентной ИИ-среде Agentic, то есть интерфейсе с ИИ-помощником для аналитиков безопасности, появились данные из deep web и dark web. Проще говоря, речь идёт о доступе к массивам информации из неиндексируемой части интернета и дарквеба — скрытого сегмента сети, где часто встречаются теневые форумы, нелегальные площадки, публикации утечек и обсуждения атак.
Google не заявляла, что Gemini «самостоятельно ходит по дарквебу» как автономный сканер. Но компания добавила dark web dataset, то есть уже собранный массив данных из deep и dark web, в платформу Agentic внутри Google Threat Intelligence. Теперь специалисты по киберразведке могут искать по этим данным обычным человеческим языком, а не только через сложные фильтры и поисковые операторы.
Согласно changelog Google Threat Intelligence от 9 марта 2026 года, в Agentic появилась поддержка dark web данных. Пользователи могут задавать системе вопросы на естественном языке и получать результаты по архивам deep и dark web-контента. В примерах источников Google перечисляет форумные сообщения, публикации в Telegram и других мессенджерах и другие площадки для публикации текстовых фрагментов и сливов, а также теневые маркетплейсы.
На практике это означает, что аналитик безопасности может сформулировать запрос примерно так: «Покажи свежие упоминания нашей компании в дарквебе» или «Есть ли признаки продажи доступа к нашей инфраструктуре». Раньше для такого поиска часто требовалось вручную составлять сложные запросы и проверять большое число совпадений. Теперь часть этой работы берёт на себя ИИ-интерфейс.
Agentic — это агентная платформа Google Threat Intelligence, то есть ИИ-интерфейс, который помогает не просто искать данные, а проходить несколько этапов анализа: находить нужные материалы, связывать между собой объекты, выделять важные сигналы и собирать ответ в более удобной форме. В документации Google прямо сказано, что Agentic работает на Gemini 3 — семействе ИИ-моделей Google, предназначенных для анализа, обобщения и генерации ответов. Иными словами, Gemini здесь выступает не как «поисковик по подпольному интернету», а как интеллектуальный слой поверх уже собранных данных Google Threat Intelligence.
Google Threat Intelligence — это платформа киберразведки Google, которая объединяет разные источники данных об угрозах. В неё входят экспертиза Mandiant — подразделения Google, которое занимается расследованием кибератак, данные VirusTotal — сервиса для проверки файлов, ссылок и доменов на признаки вредоносной активности, а также сигналы из экосистемы Google. В 2024 году Google представила этот продукт как единое окно для работы с разведданными об угрозах, вредоносным ПО, инфраструктурой атакующих и индикаторами компрометации.
Под индикаторами компрометации обычно понимают технические признаки возможной атаки: вредоносные IP-адреса, домены, хэши файлов, фишинговые ссылки и другие артефакты, которые помогают понять, что система могла быть скомпрометирована.
После обновления Google добавила и более точные инструменты поиска по deep и dark web-источникам. В changelog упоминаются фильтры по автору, идентичности, каналам, содержимому сообщений и отдельным типам коммуникаций. Там же указан оператор entity:ddw, который относится к объектам анализа, связанным с deep/dark web. Здесь слово entity означает «сущность» или «объект анализа» — например, сообщение, канал, форумную запись или другой элемент, который система умеет индексировать и связывать с угрозами.
Для ИБ-команд это может быть полезно в нескольких типовых сценариях:
-
поиск утекших учётных данных;
-
мониторинг упоминаний бренда компании;
-
поиск объявлений о продаже доступов;
-
отслеживание активности вымогателей;
-
поиск ранних признаков атаки в теневых сообществах.
Для многих SOC и TI-команд работа с внешними угрозами до сих пор довольно сложна. SOC — это центр мониторинга и реагирования на инциденты информационной безопасности, то есть команда, которая следит за подозрительными событиями и разбирает инциденты. TI, или Threat Intelligence, — это направление киберразведки, где специалисты анализируют атакующих, их инструменты, инфраструктуру и поведение.
Это обновление не выглядит отдельным экспериментом. У Google уже есть продукт Mandiant Digital Threat Monitoring, который помогает отслеживать внешние цифровые угрозы в открытых, полуоткрытых и теневых источниках. На этом фоне интеграция dark web-данных в агентный ИИ выглядит как логичное развитие уже существующей линейки продуктов безопасности Google.
Ограничения есть, и Google сама о них предупреждает. В документации Agentic указано, что генеративный ИИ может ошибаться и выдавать неточную информацию. Поэтому критически важные выводы нужно перепроверять вручную. Кроме того, Google рекомендует не передавать в такие запросы личные и чувствительные данные.
Это важное уточнение. Несмотря на разговоры об «агентном ИИ», речь не идёт о полном автоматическом расследователе, которому можно безусловно доверить финальный вывод. Скорее это ускоритель для аналитиков, который помогает быстрее находить материалы, строить связи и собирать контекст.
Google не выпустила «ИИ, который сам исследует дарквеб», а сделала более удобный инструмент для ИБ-команд — поиск по данным дарквеба и глубинного веба через Gemini внутри Google Threat Intelligence, с сохранением обязательной ручной верификации результатов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
