Группа аналитиков угроз Google (GTIG) опубликовала крупный отчет по безопасности, предупреждая, что искусственный интеллект теперь используется в качестве оружия хакерами, связанными с государствами, и криминальными субъектами угроз в промышленных масштабах — автономное вредоносное ПО, эксплойты для уязвимостей нулевого дня, сгенерированные ИИ, и операции по хищению учетных данных представляют собой прямую и растущую угрозу для пользователей криптовалют, полагающихся на стандартные меры безопасности.
Отчет от 11 мая, опубликованный GTIG в блоге Google Cloud и основанный на данных об инцидентах от Mandiant, знаменует значительную эскалацию по сравнению с выводами группы за февраль 2026 года. Если в том более раннем отчете деятельность с использованием ИИ описывалась как зарождающаяся и экспериментальная, то последняя оценка описывает зрелый переход — ситуацию, когда генеративные модели теперь встроены в наступательные процессы в больших масштабах, не как диковинка, а как операционная инфраструктура.

Цена ETH демонстрирует некоторые потери на дневном графике. Источник: ETHUSD на Tradingview
ИИ написал свой первый эксплойт для уязвимости нулевого дня
Самое значительное разоблачение в отчете является беспрецедентным. Впервые GTIG идентифицировала субъекта угроз, использующего эксплойт для уязвимости нулевого дня, который, как полагают, был разработан с помощью ИИ. Согласно отчету, криминальный субъект угроз планировал развернуть этот эксплойт в массовой атаке — сценарий, который проактивное обнаружение и противодействие со стороны GTIG могло предотвратить.
В отчете отмечается, что субъекты, связанные с государствами Китая и Северной Кореи, отдельно проявили значительный интерес к использованию ИИ для обнаружения уязвимостей. Последствия для пользователей криптовалют прямые: интерфейсы кошельков, порталы входа на биржи и инструменты аутентификации на основе браузерных расширений — все они зависят от тех же базовых программных слоев, на которые нацелены эксплойты для уязвимостей нулевого дня.
Полиморфное вредоносное ПО и пределы 2FA для пользователей криптовалют
Помимо разработки эксплойтов, в отчете документируется ускоренная с помощью ИИ разработка полиморфного вредоносного ПО — кода, который переписывает собственную структуру, чтобы избежать обнаружения — связанного, согласно анализу GTIG, с субъектами угроз, предположительно связанными с Россией. Логика-приманка, сгенерированная ИИ, внедряется в полезную нагрузку вредоносного ПО для преодоления систем безопасности, основанных на сигнатурах.
Однако самая прямая угроза для пользователей криптовалют исходит от возможности, которую GTIG называет PROMPTSPY — вредоносного ПО с поддержкой ИИ, сигнализирующего о сдвиге в сторону автономной организации атак. Согласно отчету, PROMPTSPY динамически интерпретирует состояния системы и генерирует команды в реальном времени для манипулирования средами жертв. Применительно к хищению учетных данных, этот класс вредоносного ПО может наблюдать и реагировать на потоки аутентификации способами, недоступными для статических инструментов атаки — включая тайминговые атаки против систем двухфакторной аутентификации на основе SMS и приложений во время живых сессий.
Стандартная 2FA, долгое время считавшаяся надежной базой безопасности для доступа к биржам и кошелькам, работает в предположении, что злоумышленник не может наблюдать и реагировать на окно аутентификации в реальном времени. Автономное вредоносное ПО на базе ИИ, способное интерпретировать состояния системы, существенно меняет это предположение.
Изменение среды угроз
В отчете GTIG текущий момент определяется как точка перелома двойного назначения — ИИ одновременно становится целью атак высокой ценности и изощренным двигателем, приводящим их в действие. Для участников зарождающегося сектора цифровых активов, где одна скомпрометированная сид-фраза или сессионный токен означают безвозвратную потерю, последствия являются существенными.
Практики безопасности, которые адекватно защищали пользователей криптовалют два года назад, становятся все более недостаточными против набора инструментов противника, который теперь включает сгенерированные ИИ эксплойты, самоизменяющееся вредоносное ПО и автономные операции по сбору учетных данных, работающие быстрее, чем могут реагировать защитники-люди.
Аппаратные ключи безопасности, устройства для подписания в изолированной среде (air-gapped) и мультиподписные архитектуры кошельков представляют собой нынешний рубеж значимой защиты — и разрыв между этими мерами и стандартной 2FA никогда не был шире.
Обложка от Grok, график ETHUSD от Tradingview








