Контакты Новости Акции Укр Рус
Контакт: +380503703627 info@itpro.ua
+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новости

Checkmarx Future of Application Security: AI-Generated Code многократно увеличивает поверхность атаки

Checkmarx Future of Application Security: AI-Generated Code многократно увеличивает поверхность атаки

Ежегодный отчет Checkmarx «Будущее безопасности приложений» показывает, что осведомленность о безопасности находится на рекордно высоком уровне, а реализация мер безопасности оставляет желать лучшего, и искусственный интеллект усугубляет этот разрыв.

Практически все разработчики пишут код с использованием ИИ, но менее одного из пяти обеспечивают его безопасность в процессе разработки, ссылаясь на ограниченное использование встроенных в IDE инструментов безопасности приложений и трудности с интеграцией безопасности в существующие конвейеры CI/CD. Руководители служб информационной безопасности сталкиваются с теми же требованиями со стороны высшего руководства: 95% испытывают давление, вынуждающее их подавлять или откладывать вопросы безопасности, связанные с соблюдением нормативных требований, когда на кону стоят сроки выполнения бизнес-задач. Таковы некоторые из выводов отчета Checkmarx, лидера в области безопасности приложений с использованием агентов, «Будущее безопасности приложений 2026». Отчет, опубликованный сегодня, основан на ответах 2350 руководителей служб информационной безопасности, менеджеров по безопасности приложений и разработчиков из организаций в 14 странах.

Хотя 96% разработчиков признали наличие инструментов ИИ в своих IDE и почти единодушно оценили их эффективность, только 18% заявили, что постоянно применяют меры безопасности в процессе написания кода. Данные подчеркивают тревожный факт: компании, в которых 81-100% кода создается с помощью ИИ, почти в три раза чаще выпускают программное обеспечение с известными уязвимостями безопасности, чем компании, в которых 1-20% кода создается с помощью ИИ (47% против 14%). Более глубокая проблема затрагивает все уровни использования: 75% организаций сознательно развертывают уязвимый код на каком-то этапе, руководствуясь сроками, сложностью и надеждой на то, что недостатки не будут обнаружены.

Надежда больше не является стратегией безопасности.

Новые передовые модели ИИ одновременно выявляют новые уязвимости и сокращают время, необходимое для их эксплуатации. В отчете «Будущее безопасности приложений 2026» освещаются лучшие практики ведущих организаций, которые внедряют гибридную безопасность на каждом уровне, сочетая детерминированную истину с рассуждениями, дополненными ИИ; уделяют приоритетное внимание формальным политикам управления ИИ; и используют автоматизацию, чтобы превратить ручные процессы устранения уязвимостей в надежную защиту. Данные показывают растущий разрыв между организациями, которые развиваются вместе с угрозами, и теми, кто все еще надеется, что новейшие модели ИИ не обнаружат уязвимостей.

Основные выводы исследования включают:

  • Лучше предотвратить проблему, чем потом её решать. Более 80% разработчиков не применяют AppSec постоянно по мере написания кода, вместо этого выявляя проблемы на определённых этапах после того, как код уже существует, или, что ещё хуже, реагируя на инциденты уже после их возникновения. Недостатки, обнаруженные на поздних стадиях, могут быть использованы злоумышленниками.
  • Организации признают риск, связанный с ИИ, но действия отстают. За год количество заведомо распространяемого уязвимого кода сократилось с 81% до 75%, в то время как формальные политики управления ИИ в компаниях выросли с 18% до 22%. Поскольку окна для эксплуатации уязвимостей сокращаются с лет до минут, постепенных изменений просто недостаточно.
  • Иллюзия зрелости реальна. 93% организаций признали недавнее нарушение безопасности, связанное с их собственными приложениями, в то время как 73% описывают свой уровень безопасности как «продвинутый» или «очень зрелый». Существует тревожное несоответствие между уверенностью в безопасности и реальностью в этой области.
  • Управление? Какое управление? 78% организаций, у которых отсутствуют формальные политики управления ИИ, оставляют открытой дверь для распространения теневых инструментов ИИ и для эксплуатации неконтролируемого кода, который они незаметно создают.

«Этот отчет указывает на огромный разрыв между кризисом безопасности, с которым сталкиваются организации, и постепенными шагами, которые они предпринимают для его решения. Необходима совершенно новая модель», — сказал Сандип Джохри, генеральный директор Checkmarx. «Подобно тому, как студент не может сам оценить свой экзамен, искусственный интеллект сам по себе не может обеспечить безопасность кода — и, как показывают исследования, он добавляет риски. Организациям необходима безопасность, которая сочетает в себе детерминированную точность с вероятностным мышлением для выявления новых уязвимых шаблонов, одновременно сокращая разрыв между обнаружением уязвимости и ее устранением с помощью более эффективного вмешательства человека».

Результаты этого отчета будут представлены на предстоящем виртуальном саммите Agentic AppSec Unleashed 2026 , организованном компанией Checkmarx 16 июня 2026 года. Руководители и инженеры в области безопасности из ведущих предприятий присоединятся к руководителям Checkmarx и лидерам отрасли, чтобы обсудить растущие общие проблемы и определить решения, способные оказать существенное влияние.

«Мы ведем борьбу на двух фронтах: передовые модели ускоряют обнаружение уязвимостей в устаревшем и открытом исходном коде, а код, сгенерированный ИИ, расширяет поверхность атаки в каждом конвейере обработки данных», — сказал Джонатан Ренде, директор по продуктам Checkmarx. «То, что когда-то считалось управляемым риском, теперь выглядит как капитуляция. Организациям необходимо срочно уделить приоритетное внимание трем вещам: преобразованию необработанных данных в действенные сигналы, внедрению мер по устранению уязвимостей в каждый рабочий процесс и поддержанию прозрачности во всех аспектах цепочки поставок программного обеспечения».

Отчет «Будущее безопасности приложений 2026» был подготовлен компанией Censuswide по заказу Checkmarx в период с 10 по 30 марта 2026 года на основе опроса 2350 руководителей служб информационной безопасности, менеджеров по безопасности приложений и разработчиков в 14 странах. Все ответы были конфиденциальными. Censuswide является членом Общества маркетинговых исследований и Британского совета по опросам общественного мнения и придерживается Кодекса поведения MRS и принципов ESOMAR.

О компании Checkmarx
Checkmarx — лидер в области агентной безопасности приложений, обеспечивающий защиту корпоративного уровня, одновременно снижая затраты на разработку и ускоряя темпы разработки. Платформа Checkmarx One ежегодно сканирует триллионы строк кода для компаний, сокращая плотность уязвимостей более чем вдвое. Ее автономные агенты безопасности обнаруживают и противодействуют угрозам, создаваемым искусственным интеллектом, на всех этапах жизненного цикла разработки программного обеспечения, обеспечивая защиту от устаревшего, современного и сгенерированного ИИ кода в масштабах предприятия.

Другие новости

Лучшая цена
VRScans
Chaos Group
VRScans
4 514.00 грн
VRScans
Chaos Group
VRScans
5 016.00 грн
VRScans
Chaos Group
VRScans
9 576.00 грн