ИИ начал писать вирусы: уязвимости нулевого дня превратились из элитного оружия в массовый конвейер

Еще пару лет назад 0-day выглядел как дорогая игрушка для спецслужб и узкого круга APT, где каждый эксплойт обсуждают шепотом. Сейчас это почти масс маркет. В отчете ForeScout Vedere Labs за первое полугодие 2025 года говорится, что число атак с использованием уязвимостей нулевого дня выросло на 46%. Но куда сильнее пугает не сама цифра, а темп. Окно между обнаружением дыры и реальной эксплуатацией схлопнулось. Если раньше у защитников могли быть недели, то теперь счет идет на часы.

Эксперты описывают происходящее как смену правил игры, и тут действительно сошлись сразу несколько факторов. Софт стал настолько сложным и многослойным, что безопасная разработка банально не поспевает за объемом кода и количеством зависимостей. Параллельно эксплойты перестали быть редкостью и превратились в товар. Доступом к облакам и системам идентификации торгуют как на базаре, и спрос на это есть как у криминала, так и у госструктур. А главный ускоритель, судя по всему, это ИИ. Нейросети заметно упростили автоматизацию поиска ошибок через фаззинг и ускорили генерацию рабочих Proof of Concept. То, что раньше требовало команду сильных специалистов и недели времени, теперь может потянуть средний по уровню атакующий, если знает, как правильно сформулировать запрос и собрать пайплайн.

Меняются и точки входа. В 2025 году злоумышленники все реже ломятся в лоб через браузеры. Все чаще старт идет через IP камеры, промышленные контроллеры и edge устройства. Это удобные черные ходы. Их редко обновляют, за ними часто плохо следят, а внутри сети они могут стать отличным тихим плацдармом для дальнейшего движения.

Сами атаки стали похожи на конвейер. 0-day теперь не финальная цель и не трофей, а просто отмычка, чтобы открыть дверь и попасть внутрь. Дальше включается стандартный набор, кража учетных данных, повышение привилегий, боковое перемещение. У защитников здесь ловушка в чистой математике. Патч может появиться через день, а эксплуатация начинается через час после публикации уязвимости. Привычная логика накатим обновления в плановое окно перестает работать, потому что окно уже закрыто, когда вы только планируете.

Отчет ForeScout прямо говорит: защищаться нужно так, будто вас уже взломали. На этом фоне фокус уходит в сторону Zero Trust и сегментации, когда критично не только пытаться не пустить, но и не дать быстро развернуться внутри периметра. Отдельно отмечается самая опасная слепая зона, идентичности. Атаки через легитимные учетные записи часто выглядят как нормальная активность и легко проходят мимо классических средств защиты, поэтому без поведенческого анализа и жесткого контроля привилегий обнаружение злоумышленника становится почти лотереей.

Если сводить это к одному выводу, мы вошли в эпоху, где между уязвимостью и атакой больше нет комфортного буфера времени. И похоже, это уже не всплеск, а новая норма.