Киберугрозы всё чаще автоматизируются и исходят от машин. Бороться с ними тоже помогают машины. Разбираемся, как в кибербезопасности используются нейросети, зачем они изучают язык и какие задачи решают российские ИИ-модели.
Зачем кибербезопасности нужен искусственный интеллект?
Развитие цифровых технологий привело к росту числа киберинцидентов и усложнению самих атак. По данным аналитического центра Positive Technologies, уже к 2023 году более 40 % российских организаций в сфере информационной безопасности внедрили решения на основе искусственного интеллекта. Причина кроется в уникальных возможностях таких систем: нейросети способны анализировать большие объёмы данных, выявлять аномалии в поведении пользователей и автоматически реагировать на подозрительные события.
Одним из ключевых направлений использования ИИ в кибербезопасности стало распознавание текстовых угроз, включая фишинговые письма, вредоносные запросы и инструкции к атаке. Здесь вступает в силу обработка естественного языка (Natural Language Processing, NLP), которая позволяет машинам «понимать» смысл и стиль написанного человеком.
Основные задачи ИИ в кибербезопасности
Нейросетевые системы уже сегодня применяются в ряде ключевых направлений:
– анализ поведения пользователей: выявление отклонений от стандартного поведения,
– интеллектуальное реагирование на инциденты: автоматическая классификация и оценка угроз,
– обнаружение вторжений: фиксация попыток несанкционированного доступа,
– распознавание вредоносных текстов: в том числе – писем социальной инженерии и фишинга,
– оценка кода: выявление уязвимостей в исходном коде с помощью генеративных моделей.
Решающим преимуществом ИИ стало его умение обрабатывать слабоформализованные сигналы – текст, поведение, взаимодействие пользователя с интерфейсом. Особенно востребованными оказались языковые модели, такие как YandexGPT, Gerwin, CopyMonkey и др.
Как российские нейросети работают с угрозами
Среди активно развивающихся решений выделяются следующие отечественные ИИ-инструменты:
- YandexGPT и Gerwin – большие языковые модели, обученные на русском корпусе данных. Используются для анализа запросов и фильтрации опасного контента.
- Шедеврум – визуально-генеративная модель, применимая в симуляции и реконструкции цифровых атак, а также для визуального анализа поддельных документов.
- GigaCode и CopyMonkey – модели, генерирующие программный код, применяются для выявления уязвимостей в скриптах и автоматической верификации конфигураций.
- Сolorize – мультимодальный ИИ, использующийся для симуляции атак в образовательных и аналитических целях.
Развитие таких моделей требует не только технической, но и лингвистической экспертизы: работа с текстами угроз включает понимание стилистики, тональности и манипулятивных приёмов.
Речь как индикатор угрозы
Связь между киберугрозами и языком всё чаще становится предметом научных исследований. Согласно работам И.И. Десятниченко и С.Ю. Бородина, лингвистический анализ позволяет выявлять потенциально опасные обращения ещё до наступления инцидента. В частности, особое внимание уделяется стилю фишинговых писем – они, как правило, избыточно императивны, эмоциональны и стремятся вызвать срочную реакцию.
Языковой стиль запроса влияет на поведение нейросети. Это открывает возможности для создания фильтров, основанных не на ключевых словах, а на прагматических и стилистических признаках текста.
Как ИИ «читает» текст: пример работы фильтра
Чтобы понять, опасно ли письмо или запрос, ИИ-модель последовательно анализирует:
1. Тематический контекст (речь идёт о деньгах, аккаунтах, конфиденциальных данных?).
2. Стиль письма (официальный, доверительный, манипулятивный?).
3. Эмоциональную окраску (используются ли слова вроде «срочно», «ошибка», «подтвердите»?).
4. Признаки имитации (например, подделка делового стиля, но с грамматическими ошибками).
5. Внешние признаки (подозрительные ссылки, нетипичная структура письма и др.).
Такая система может быть интегрирована в антифишинговые решения, фильтры генеративных ИИ и интерфейсы ситуационных центров.
Заключение
Использование искусственного интеллекта в кибербезопасности – не просто технический тренд, а необходимость в условиях усложняющейся цифровой среды. Нейросети становятся не только инструментом защиты, но и объектом особого внимания: злоумышленники тоже используют ИИ. Поэтому создание этически и лингвистически устойчивых моделей – важнейшее направление для научного и инженерного сообщества.
Подробнее – в научных статьях И.И. Десятниченко «Нейросетевые технологии и проблемы интерпретации речевых угроз» (опубликована в журнале «Известия РАН. Теория и системы управления» в 2022 году в № 2, стр. 38–49) и А.А. Семенова и С.Ю. Бородина «Лингвистические методы выявления фишинговых сообщений» (опубликована в журнале «Информационная безопасность» в 2022 году в № 3, стр. 55–61).