"44 дня — и до нуля: как ИИ схлопнул окно реагирования на 0-day в 2026"
Доступные языки
Бо́льшую часть 2010-х "поставить патч в течение месяца" считалось хорошей гигиеной безопасности. В 2026-м этот совет устарел. По данным Mandiant M-Trends 2026, среднее time-to-exploit — промежуток между публикацией уязвимости и её активной эксплуатацией — сократилось с более 700 дней в 2020-м до 44 дней в 2025-м. И ещё резче: 28,3% CVE теперь эксплуатируются в течение 24 часов с момента раскрытия.
На этой неделе Google Threat Intelligence Group сообщила, что предотвратила попытку хакерской группы использовать ИИ-модель для планирования массовой эксплуатации уязвимостей, включая попытку поиска 0-day, обходящего двухфакторную аутентификацию. По данным Google, группы, связанные с Китаем и Северной Кореей, "проявили значительный интерес к использованию ИИ для поиска уязвимостей."
Для рядового пользователя — не только для корпораций — эти цифры перерисовывают карту. Окно между "патч вышел" и "патч обязан стоять у вас" теперь измеряется в часах, а не неделях.
Что эти цифры говорят на самом деле
| Показатель | 2020 | 2025 |
|---|---|---|
| Среднее time-to-exploit | 700+ дней | 44 дня |
| Доля CVE, эксплуатируемых в 24 ч | <2% | 28,3% |
| Эксплойт раньше патча | Редко | Регулярно |
В этих трёх строках спрятано три сдвига:
- Разработка эксплойта больше не узкое место. Раньше небольшой профессиональной команде нужно было неделями превращать запись CVE в рабочий эксплойт. Анализ кода с помощью ИИ сжал это до дней, иногда часов.
- Асимметрия перевернулась. Защитнику нужно протестировать, поэтапно выкатить и масштабировать патч. Атакующему ничего валидировать не нужно — достаточно, чтобы сработало один раз.
- "Нулевой день" — уже неточное слово. Когда эксплойт приходит раньше патча, у пользователя фактически отрицательное время на реакцию.
Как ИИ ускоряет атакующего
Механику не надо воображать — раскрытие Google на этой неделе читается как хрестоматийный пример. Перехваченная группа использовала большую языковую модель, чтобы:
- разбирать записи CVE и патчи, выводя уязвимый участок кода
- генерировать PoC-код эксплойта для дальнейшей доработки
- планировать многоступенчатые операции, включая обходы двухфакторной аутентификации
- бить в масштабе — автоматизируя разведку по тысячам потенциальных жертв
Отчёт Mandiant фиксирует это на популяционном уровне: связанные с Китаем и Северной Кореей группы стали самыми активными ранними пользователями ИИ-ассистированного поиска уязвимостей; иранские и российские игроки идут следом.
ИИ не изобретает новых классов уязвимостей. Он сжимает время между "дефект есть" и "атакующий его уже использует против вас" — а для конкретного человека только это окно и имеет значение.
Что это на практике значит для отдельного пользователя
Бо́льшая часть обсуждения этих чисел крутится вокруг корпораций. Вот что меняется для обычного пользователя:
1. "Обновлю в выходные" больше не безопасно
Когда 28,3% CVE эксплуатируются за сутки, время между появлением уведомления и нажатием "Установить сейчас" определяет, попадёте ли вы в цель. Прокрастинация выходного дня — больше не маленький риск.
2. Старые устройства опаснее, чем когда-либо
Если ваш телефон, роутер или ноутбук перешагнул срок поддержки производителем, вы теряете не "новые функции" — вы теряете именно те патчи, под которые заточен ИИ-конвейер атакующего. Устройства без обновлений безопасности — это активный риск держать в сети.
3. Цепочка поставок важнее бренда
Уязвимость в одном компоненте — библиотеке изображений, Bluetooth-стеке, рендерере шрифтов — расходится по всем приложениям, которые её используют. ИИ-инструменты дёшево позволяют атакующему сканировать глобальную экосистему софта и выискивать, какое приложение поставило какую версию уязвимой библиотеки. Ваше любимое массовое приложение может попасть под удар через библиотеку, о которой вы никогда не слышали.
4. Аутентификация — новый периметр
Перехваченная Google операция целилась именно в обход двухфакторной аутентификации. Это новый фронт: атакующие знают, что ваш пароль уже мог утечь, и инвестируют в обход второго фактора. Сильная 2FA (аппаратные ключи, приложения-аутентификаторы) в 2026-м важнее, чем когда-либо.
5. Гигиена сетевого уровня всё ещё выигрывает время
Даже если эксплойт уже есть, его ещё надо доставить. Сокращение поверхности, доступной из открытой сети, — через шифрованный DNS, VPN-туннель и отказ напрямую выставлять IoT в интернет — даёт запас, пока патч расходится.
Пять действий на эту неделю
1. Включите автообновления везде
Телефон, ноутбук, роутер, хабы умного дома. Не полагайтесь на свою память. Цикл патчей быстрее любой привычки "посмотрю позже".
- iOS: Настройки → Основные → Обновление ПО → Автообновления (всё включить)
- Android: Настройки → Система → Системное обновление + автообновление Play Store
- macOS: Настройки → Основные → Обновление ПО → Автообновления
- Windows: Настройки → Windows Update → Дополнительные параметры → Получать обновления других продуктов Microsoft
2. Уберите устройства, переставшие получать обновления безопасности
Проверьте дату "конец поддержки" для вашего телефона. Если она прошла — это пассив, и не только для самого устройства, но для любого аккаунта, в который вы с него заходите. Перепрофилируйте под медиаплеер, отдайте на запчасти, но не пользуйтесь для почты, банкинга или мессенджеров.
3. Прокачайте второй фактор
Если для важных аккаунтов (банк, почта, соцсети) у вас всё ещё SMS-2FA — переходите на приложение-аутентификатор (Authy, Google Authenticator, 1Password) или, что лучше, на аппаратный ключ (YubiKey, Google Titan). Обход аутентификаторов и ключей кратно сложнее, чем обход SMS.
4. Менеджер паролей — и пусть он сам генерирует пароли
Если пароль можно повторно использовать, он уже в чьей-то базе. Менеджер паролей с генерацией 20+ символов на каждый сервис означает, что взлом одного сайта не превращается в каскад.
5. Уплотните сетевой слой
Шифрованный DNS, надёжный VPN, отказ от прямого выставления домашних устройств в интернет (никаких пробросов портов на NAS, если вы не понимаете точно, что делаете) — это реальный запас. Большинство оппортунистических атак умирают о непрозрачную сетевую поверхность.
Как VPN встраивается в защиту
VPN не лечит уязвимость, которая уже на вашем устройстве. Что он делает — сокращает, сколько атак вообще доходит до того уязвимого кода.
Конкретно:
- Шифрование AES-256 защищает ваш трафик в любой сети — кафе, гостиничный Wi-Fi, гостевые сети, где вы не знаете остальных
- Низкозатратное шифрованное туннелирование оставляет защиту по умолчанию включённой, в том числе для стриминга и звонков, — вы не отключаете её рефлекторно из-за производительности
- Защита от DNS-утечек скрывает список сервисов и сайтов, которыми вы пользуетесь, — а это первое, что нужно атакующему, собирающему персонализированную цепочку
- Kill switch режет весь трафик в момент падения туннеля, чтобы короткое переподключение не показало ваш реальный адрес и DNS
- Глобально распределённая сеть серверов позволяет выбирать точки входа и обходить враждебные сети
- Блокировка известных вредоносных доменов перехватывает заметную долю инфраструктуры доставки эксплойтов до того, как устройство вообще получит payload
Сложите это с пятью шагами выше — и задача атакующего станет ощутимо сложнее. С учётом того, насколько ИИ его задачу удешевил, именно это и нужно.
Итог
Схлопывание окна 0-day — не будущий тренд. Оно тихо случилось между 2023 и 2025 годами, а цифры M-Trends 2026 просто это зафиксировали: 44 дня. 28,3% в 24 часа. Это не корпоративная статистика. Это новая базовая линия для каждого устройства, что у вас в кармане.
Хорошая новость: ни одна из защит не новая. Обновления, сильная 2FA, гигиена паролей, чистый сетевой слой. Изменилась только цена того, что любая из них провисает. Считайте безопасность тем, что делается на этой неделе, а не тем, "до чего руки дойдут" — и всё будет в порядке.
Теги