Разработчик создал намеренно уязвимое веб-приложение и потратил $1,500 на запросы к большим языковым моделям (LLM), чтобы проверить, сможет ли ИИ его взломать. В эксперименте участвовали LLM от OpenAI, Anthropic и Google. Задачи включали SQL-инъекции и межсайтовый скриптинг. Модели справились с простыми эксплойтами, но провалили многошаговые атаки, требующие рассуждений. Разработчик пришёл к выводу: текущие LLM пока не годятся для автоматического пентеста.
Этот эксперимент говорит о важном: ИИ — не волшебный хакер. По крайней мере, пока. Разработчик потратил $1,500, чтобы подтвердить то, что многие эксперты по безопасности и так подозревали. LLM могут помочь с базовой разведкой, но им не хватает креативности для реальных атак.
Но есть и оптимистичный взгляд. Мы на раннем этапе. Очень раннем. Через пять лет эти же тесты могут показаться примитивными. ИИ учится рассуждать шаг за шагом. Он становится дешевле. Быстрее. Умнее. $1,500, потраченные сегодня, — это инвестиция в понимание границ. Завтра эта же сумма может купить полный аудит безопасности. Будущее не в том, что ИИ заменит хакеров. А в том, что ИИ сделает каждого лучшим хакером. И защитников тоже.