Новое исследование компании Cobalt — State of Pentesting Report — показало, что большое количество ложноотрицательных результатов значительно подорвало доверие к тестированию уязвимостей с помощью ИИ. Оно основано на двух сравнительных опросах, проведённых в 2025 и 2026 годах среди 450 ИБ-специалистов.

Документ гласит: процент организаций, полностью полагающихся на автоматизацию тестирования, за указанный период снизился с 29% до 9%, при этом 47% респондентов теперь предпочитает гибридную модель. 78% заявило, что полностью автоматизированные инструменты сканирования пропустили критически важные уязвимости.

Доля компаний, предпочитающих модель, где нейросетевое тестирование поддерживается людьми, выросла на 22 процентных пункта за год. Число тех, кто использует модели для сред с низким уровнем риска, также выросло на 22 пункта (до 47%). «Хотя отрасль по праву воодушевлена ​​потенциалом инструментов класса Mythos, алгоритмы без управления по своей природе склонны выдавать ещё больше ложных срабатываний и дорогостоящих ложноотрицательных результатов, чем автоматизированные сканеры, которые мы используем сегодня», — отметил CISO Cobalt Эндрю Обадиару.

В отчёте также говорится, что одной из главных причин снижения доверия к моделям является сложность поверхности атаки ИИ, которую тестируют эти сканеры. Почти каждая обнаруженная алгоритмом уязвимость оценивается как высокорисковая — в 2,7 раза выше, чем в среднем для обычного ПО.

На момент анализа 38% брешей LLM было закрыто, в то время как 62% оставалось «в игре» — это самый низкий показатель устранения среди всех классов активов.

Среднее время устранения (MTTR) проблем безопасности ИИ/LLM за два года увеличилось с 19 до 36 дней, что, по утверждению Cobalt, свидетельствует о появлении «значительно более сложных уязвимостей».

«Уязвимости LLM сильно зависят от контекста и невидимы для инструментов, которым не хватает архитектурного понимания приложения, — пояснил Обадиару. — Для устранения пробела в проверке автоматизацию следует внедрять именно там, где она наиболее эффективна, но высококвалифицированные специалисты остаются основополагающими для выявления и устранения наиболее сложных рисков, связанных с бизнес-логикой».

Усам Оздемиров