Киберпрестъпници и подкрепяни от държави хакерски групи все по-активно използват изкуствен интелект (ИИ), за да подобряват кибератаки и фишинг кампании. Това не означава внезапен скок в способностите им, а постепенно усъвършенстване на познати техники, подпомогнато от нови технологични инструменти.

Още в края на 2025 г. Google сигнализира, че атакуващи започват да тестват ИИ в реални операции. Най-новите анализи показват, че тези експерименти не само продължават, но и стават по-зрели и целенасочени.

Какво показват последните разузнавателни данни

Според Google Threat Intelligence Group (GTIG) и Google DeepMind, използването на ИИ все още не е довело до „пробивни“ атаки, които коренно да променят пейзажа на заплахите.

Вместо това наблюдаваме:

• по-бързо проучване на потенциални жертви

• по-убедително писане на фишинг имейли

• автоматизирано обобщаване на OSINT информация

• подпомагане на анализ на уязвимости

С други думи, ИИ действа като усилвател на вече познати техники, а не като самостоятелно оръжие.

Държавно подкрепени групи и „distillation attacks“

За АТР, свързани с държави като Китай, Иран, КНДР и Русия, големите езикови модели (LLM) вече са ключов инструмент.

Един от най-тревожните подходи е т.нар. „distillation attack“ – сценарий, при който атакуващите използват достъп до утвърдени LLM платформи, за да извличат знания за хакерски техники и след това да обучават собствен ИИ модел.

Конкретен пример е китайската група APT31, която е използвала чатбота Gemini за анализ на уязвимости и планиране на атаки срещу американски организации.

Както отбелязват изследователите, автоматизираното разузнаване започва опасно да размива границата между легитимно проучване на сигурността и целенасочено злонамерено разузнаване.

Агентният ИИ – следващата фаза?

Експертите отчитат нарастващ интерес към т.нар. agentic ИИ системи – решения, които комбинират автоматизация с автономно вземане на решения. Засега подобни инструменти не са напълно оперативни в киберпрестъпния свят.

В близко бъдеще обаче те могат:

• да понижат бариерата за навлизане на по-слабо квалифицирани атакуващи

• да ускорят фазите на атака – от разузнаване до експлоатация

• да направят кампаниите по-мащабни и по-трудни за засичане

Какво означава това за бизнеса

Промяната е бавна, но сигурна. Това не е причина за паника, а за трезва подготовка.

Традиционните мерки остават критично важни:

• обучения за служителите

• защита срещу фишинг

• навременно управление на пачове

• силна автентикация и контрол на достъпа

В същото време става все по-ясно, че защитниците също трябва да разчитат на ИИ-базирани решения за сигурност, за да поддържат темпото с атакуващи, които системно интегрират ИИ в своите операции.

Извод

ИИ не е „магическо оръжие“ за киберпрестъпниците – поне засега. Но той постепенно променя начина, по който се планират и изпълняват атаките. Организациите, които комбинират доказани практики с интелигентни защитни технологии, ще бъдат в по-добра позиция да посрещнат следващата фаза на развитие на пейзажа на заплахите.