Структурная власть на скорости машин

от автора

Почему кибербезопасность снова стала информационной

Будущее где-то рядом

Будущее где-то рядом

Сильнейшие экономики мира вкладывают в ИИ триллионы не ради ещё одного способа зачитать чужой сетевой флоу. Гонка идёт за право задавать условия, в которых государства и компании видят мир и принимают решения.

ИИ-стек связывает безопасность, производство, финансы и знание через доступ, зависимость и ренту. Знание становится его управляющим слоем. Поэтому кибербезопасность выходит из технического арьергарда и становится одной из опор новой структурной власти.

Расширенная версия доклада Сергея Гордечика на Kaspersky Кибер Кэмп, июнь 2026.


1. Тёмная битва в пещере глубокой ночью

Сейчас все говорят об одном и том же. Новые модели. Агентная разработка. Кибервозможности. Тысячи новых уязвимостей. Кризис воспроизводства профессий. Экспортные ограничения. Заявления первых лиц американских и китайских компаний. И уже даже — «новое ядерное сдерживание».

За этим шумом теряется масштаб предмета.

Полагать, что сильнейшие экономики мира вкладывают в ИИ триллионы долларов, чтобы искать 0-day в ffmpeg или OpenBSD, — примерно так же разумно, как полагать, что метод Diffusion целенаправленно создавали ради генерации миллионов танцующих котиков.

Возможность зачитать чужой сетевой флоу вместе с ключами не стоит триллионов. Всегда есть термо-ректальный криптоанализ или атака грубой силой словарём по голове: не так массово, но эффективно и отработано годами.

Триллионы покупают не отдельную кибервозможность, а положение в системе, которая определяет доступ к вычислениям, моделям, данным и решениям. Чтобы разобрать эту систему, придётся сначала уйти в геополитику, а затем вернуться к бизнесу и кибербезопасности.

2. Структура структурной власти

У происходящего много названий: «ИИ-колониализм», «неофеодализм», даже «технофашизм». Нейтральнее и точнее говорить о структурной власти.

Термин ввела Сьюзен Стрэндж. Есть власть реляционная: А заставляет Б сделать то, чего Б не хочет. Структурная власть устроена иначе. Она задаёт правила и ограничения, внутри которых Б вообще выбирает, что ему делать. Точнее, выбирает из чётко обозначенного набора блюд.

У такой власти три важных свойства. Она позиционна: растёт не из приказов, а из места в системе. Она эмерджентна: корпорации хотят выручку, облака привязывают клиентов, государства ищут рычаги, и в сумме получается глобальная империя без рептилоидов. Наконец, она задаёт условия по умолчанию. Не приказ, а среду.

Стрэндж выделяла четыре структуры власти: безопасность, производство, финансы и знание.

Эту позиционность Фаррелл и Ньюман описывают как «вооружённую взаимозависимость»: в любой сети есть узлы-хабы, и тот, кто их держит, получает два рычага — паноптикум (видеть чужие потоки) и чокпоинт (перекрывать доступ). Например, абстрактный пролив или «международная» система платежей.

Если натянуть всё это на глобус, получится мир-система Валлерстайна: ядро, полу-периферия и периферия, связанные неравным обменом.

3. Ядро: слияние четырёх структур

Исторически четыре структуры Стрэндж имели разные локусы контроля, хотя никогда не были полностью изолированы друг от друга. ИИ-стек связывает их особенно плотно. Вычисления, модели, данные, капитал и безопасность входят в одну цепочку, но управляют ею не из единого штаба. Власть распределена между несколькими вахтерами.

Один и тот же артефакт участвует сразу в четырёх структурах. Вычислительные мощности нужны производству, облако снимает ренту, модель работает с знанием, а режим доступа становится инструментом безопасности. Получается не одно КПП, а связанная система пропускных пунктов.

Знание становится управляющей плоскостью: через него принимаются решения о трёх остальных структурах. Если государство смотрит на экономику и безопасность через чужие модели, поставщик получает влияние на саму рамку решения.

У Стрэндж знание несводимо к трём другим структурам. В ИИ-стеке знание всё чаще работает как слой управления поверх остальных трёх.

Трансформация структурной власти

Трансформация структурной власти

Рис. 1. Было: четыре структуры власти с разными локусами контроля. Стало: ИИ-стек тесно связывает их, а знание всё чаще управляет остальными тремя. Контроль не сходится в единую точку; он распределяется между точками доступа. Выход возможен по частям, если есть заменяемость, переносимость и контроль над критическими границами.

4. Структура захвата: как концентрируется власть

Если развернуть ИИ-стек по вертикали, видно, что захват ползёт вверх: преимущество концентрируется в верхних слоях, и на каждом слое — свой механизм контроля. Восемь слоёв, снизу вверх.

Внизу лежат энергия и вычислительные мощности: GPU, ASIC, фабрики с EUV-литографией, дата-центры и электросети. Это канонический чокпойнт Фаррелла и Ньюмана. Экспортный контроль давно бьёт именно сюда.

Следующий этаж занимает облако и инференс, то есть запуск моделей. Здесь возникают облачная рента, привязка к поставщику и телеметрия транзитом. Выше стоит кибербезопасность: поиск уязвимостей, приоритизация и конвейер патчей. Это потенциальный чокпойнт: возможность сначала закрывать собственные уязвимости, а информацию для остальных дозировать. Идея «избирательной безопасности» в ИТ не нова; документы Сноудена это хорошо показали.

Дальше идут данные и телеметрия. Власть здесь даёт не только объём данных, но и контроль их происхождения, разметки, доступа, промптов, эмбеддингов и выдачи. Каждый раз, вводя промпт, пользователь делится с сервисом запросом, результатом и своей реакцией; всё это может стать телеметрией. Над ними находятся модели и веса. Веса задают поведение модели; в них же могут жить узкие бэкдоры или просто «предвзятость», позволяющая правильно отвечать на вопрос «чей Тайвань».

На вершине находится когнитивная работа и поддержка решений: обзоры, рекомендации, закупки, оценка риска, общая картина операции. Здесь захватывают уже не сервер, а рамку, внутри которой человек принимает решение и выбирает действие.

Шесть технических слоёв обёрнуты ещё двумя. Управление и право задают лицензии, проверку клиентов, экспортный режим и уровни доступа. Здесь контроль доступа часто важнее формального владения.

Финансы и рента питают весь стек: инвестиции, капитальные затраты, облачная выручка, государственные фонды и контрактные условия. Рядом проходит контроль трансграничных потоков капитала, данных, технологий и доступа людей к чувствительным знаниям.

Сами слои не новы. Новая часть истории заключается в машинной скорости. Позиция на важном узле раньше давала пассивное преимущество. Теперь тот же узел можно использовать точечно и быстро.

Окно между обнаружением и применением сужается, хотя не одинаково на всех слоях. Чем выше мы поднимаемся, тем хуже наблюдаем причинность.

Сетевую атаку видно в проводах. А что именно перемкнуло в кукухе у модели: баг, галлюцинация или закладка, бывает почти невозможно различить. Тот, кто держит руку на фейдере, получает ещё и возможность предложить правдоподобное объяснение сбоя.

Структурная власть ИИ-стека

Структурная власть ИИ-стека

Рис. 2. Восемь слоёв стека. Слева показаны типичные механизмы контроля, справа меняется наблюдаемость: от видимого «на проводе» до плохо различимого влияния на уровне данных, весов и решений. Красный контур отмечает самый чувствительный слой, поддержку решений.

5. Танцуют все

Гонка глобальна, но стартовые позиции и роли её участников принципиально различаются.

Концентрация капитала реальна и экстремальна. Частные инвестиции США в ИИ за 2025 год составили около $285,9 млрд против $12,4 млрд у КНР: разница примерно в 23 раза. Глобально частные инвестиции достигли $344,7 млрд, а корпоративные вместе со сделками M&A — $581,7 млрд.

Физическая инфраструктура перекошена так же. В США насчитывается 5 427 дата-центров, более чем в десять раз больше, чем в любой другой отдельно взятой стране.

Но 23× описывает только годовые частные инвестиции. Государственные направляющие фонды КНР вложили в ИИ-компании около $184 млрд за 2000–2023 годы.

Не менее показателен объявленный масштаб будущих программ. У КНР заявлено около $433 млрд, у США — $500 млрд; Европа намерена мобилизовать около $180 млрд.

Ожидаемо поиграть в ИИшницу решили и страны Залива: $100 млрд программы HUMAIN/PIF в Саудовской Аравии и $10 млрд фонда G42 в ОАЭ. Это анонсы, а не потраченные деньги, но масштаб понятен.

Сами суммы рассказывают не всё. Одни вошли в гонку строителями: США, КНР и отчасти Европа. Другие покупают место в чужой инфраструктуре.

США и Китай доминируют в коммерчески доступных вычислениях. В 2025 году США выпустили 50 заметных моделей, Китай — 30, а разрыв на сопоставимых тестах к марту 2026-го сократился примерно до 2,7%. Остальные страны пытаются не столько выиграть гонку, сколько уменьшить зависимость от двух центров.

6. Слоёный пирог управляемой зависимости

Расслоение уже жёсткое и многоуровневое. США и Китай ближе остальных к собственному полному стеку, но глубина контроля у них разная. Ниже лежит не однородная масса «всех остальных», а несколько типов зависимости. Положение страны определяется тем, какие слои она действительно воспроизводит и какие условия доступа способна навязать другим.

Огораживание в ИИ началось практически с начала новой волны увлечения нейросетками, когда ML переименовали в AI. Google публично показала внутренний TPU в 2016 году, а в 2018-м превратила Cloud TPU в платный облачный ресурс. OpenAI в 2019 году провела поэтапный выпуск GPT-2, а в 2020-м открыла управляемый API-доступ к моделям и отдельно лицензировала GPT-3 Microsoft.

В 2021 году корпоративная практика стала государственной политикой. США учредили National AI Initiative и авторизовали программы CHIPS for America, связав ИИ, оборону, микроэлектронику и данные.

Еврокомиссия предложила AI Act. Китай принял закон о безопасности данных и закон о персональной информации.

Иерархию уже пытались отлить в бумаге. Принятое при Байдене AI Diffusion Rule делило страны на три тира по доступу к чипам и весам моделей. Его требования должны были вступить в силу 15 мая 2025 года, но за два дня до этого BIS объявило об отзыве правила и отказе от его применения. Трёхтирная архитектура не стала устойчивым режимом, хотя более узкие экспортные ограничения продолжили действовать.

Главный центр сегодня — США: передовые ускорители, гиперскейлеры, большая часть ведущих лабораторий, капитал и союзная сеть экспортного контроля.

КНР строит конкурирующий стек на Huawei Ascend, SMIC, внутренних облаках, государственных фондах и глубокой линейке открытых моделей. Это уже не просто обход Nvidia и OpenAI. Китай сам выставляет условия по данным, рынку, сырью и владению стратегическими ИИ-активами. Но по передовым фабрикам, HBM и производительности отдельного чипа китайский стек всё ещё слабее американского.

Британия выступает платформенным партнёром: она очень хорошо стартовала, создала DeepMind и Arm, но оба актива принадлежат внешним группам, Google и SoftBank. Залив покупает доступ суверенными деньгами и принимает внешние условия безопасности; G42 отказалась от Huawei ради Microsoft и американских чипов.

Европа строит свои слои и держит собственные рычаги, прежде всего ASML, регулирование данных и инвестиций, но уступает двум главным центрам по масштабу вычислений.

У остальных контроль ещё тоньше. Иногда собственными остаются данные и прикладной слой, а чипы, облако и модель арендуются. Иногда нет и этого.

Тиры: глубина контроля по стеку

Тиры: глубина контроля по стеку

Рис. 3. Глубина контроля по стеку. Даже претенденты на полный стек зависят от внешних узлов; разница в числе собственных слоёв, качестве замен и способности выставлять условия другим. Средние державы удерживают часть верхнего слоя, но арендуют вычисления, облако или модели. На периферии почти весь стек задаётся извне.

Для средних тиров точнее говорить об управляемой зависимости: доступ к передовым возможностям даётся на внешних условиях. Залив, Британия, Индия и Европа покупают или арендуют место в частично чужом стеке. IndiaAI и стройка Amazon на $13 млрд, например, опираются на Nvidia и иностранное облако.

Зависимость начинается не там, где у страны нет собственного чат-бота. Чат-бот будет у всех. Даже если вы его не хотите, его вам выдадут, внедрят, обучат детей через «фонд Сороса». Вопрос в другом: на чьих мощностях и моделях работает государство и ключевой бизнес, кто видит телеметрию, можно ли заменить или контролировать модель, кто задаёт темп обновлений и откуда приходит киберразведка. Центр продаёт периферии доступ к своему темпу развития. Строго дозированный доступ.

Мировая система ИИ-стека

Мировая система ИИ-стека

Рис. 4. Мировая система ИИ-стека состоит из двух конкурирующих центров и нескольких промежуточных зон. Потоки идут в обе стороны: данные, капитал, сырьё и таланты питают центры; модели, облака, стандарты и ограничения возвращаются наружу. Частичный выход дают открытые веса, локальные данные, переносимость и заменяемость, но ни один из этих механизмов не переносит весь стек.

Выход частичный. Открытые веса DeepSeek, Qwen, Kimi и GLM дают независимость на уровне артефакта: модель можно скачать и развернуть. Но вместе с ней не скачиваются опыт команды, производственная база, HBM и оборудование фабрики.

DeepSeek, по сообщениям, вернул R2 на Nvidia после проблем с Ascend; это не подтверждено официально. Выход годных 7-нм чипов у SMIC оценивают в 30–50%, и это тоже аналитическая оценка. Открытая модель меняет зависимость, но редко отменяет её.

7. Не стена, а сеть вентилей

Стек уже работает как рычаг, но сплошной эмбарго-стены не получилось. Вместо неё возникла сеть вентилей. Доступ можно прикрутить, обложить условиями, привязать к владельцу или снова открыть для выбранной группы.

Причём вентиль не один и рука на нём не только американская. США и союзники дозируют чипы, облако, модели, данные, капитал, владение и доступ к чувствительным знаниям. Китай контролирует критическое сырьё, внутренние данные, рынок и иностранное владение стратегическими ИИ-активами.

ЕС и Британия строят собственные периметры вокруг данных, инвестиций, облачной переносимости и исследовательского доступа.

Так работает избирательная проницаемость: полезные потоки сохраняют, а доступ соперника делают условным. Полная автаркия слишком дорога обеим сторонам.

Резкая эскалация началась 7 октября 2022 года, когда BIS ограничил поставки Китаю передовых GPU и оборудования для их производства. Это был не первый случай превращения производства в инструмент безопасности, но важный скачок масштаба. Дальше заработала петля: правило, урезанный совместимый чип, новое правило. A800 и H800 стали черновиком будущей истории с H20, H200 и Blackwell.

Рента стала буквальной. После запрета H20 в апреле 2025-го Вашингтон, по сообщениям, в августе разрешил Nvidia и AMD продавать в Китай за 15% выручки. Финансовый директор Nvidia отдельно уточнил, что требование ещё не кодифицировано.

К 2026 году доступ стал ступенчатым. H200 и MI325X рассматриваются по заявкам, с тарифом, количественным потолком, проверкой клиента и инспекцией. Blackwell закрыт, H20 снова продаётся на особых условиях.

Пекин крутит вентиль со своей стороны. Китай наращивает Ascend 910C, ограничивает критическое сырьё и давит на Nvidia через SAMR. Под его контролем находится около 98% мирового рафинированного галлия. Рычаги у сторон разные, но игра давно двусторонняя.

Контроль добрался и до юридической принадлежности компании. В мае 2026 года BIS подтвердил: передовые вычислительные мощности нельзя без лицензии продать фирме с головным офисом в стране списка D:5 или в Макао, даже если сама площадка находится в другом месте. Правило следует за материнской компанией.

Самый громкий прецедент возник на уровне моделей. 12 июня 2026-го Минторг предписал Anthropic закрыть иностранцам доступ к Fable 5 и Mythos 5. Anthropic отключила модели по всему миру и одновременно оспорила предписание в суде.

Пентагон объявил компанию риском цепочки поставок и закрыл её моделям военные задачи. 26 июня Mythos 5 всё же открыли сотне проверенных американских организаций. Передовая модель получила режим распространения, похожий на ограничения торговли оружием, но правовая конструкция ещё шаткая.

Американский контур контроля шире экспортного режима. Data Security Program фактически превратил доступ к массовым чувствительным данным в экспортный периметр. Outbound Investment Program ограничивает часть вложений в китайские чипы, квантовые технологии и ИИ. CFIUS умеет разворачивать уже завершённые сделки.

Британия контролирует передачу технологических знаний и доступ части иностранных исследователей. ЕС усиливает проверку иностранных инвестиций в стратегические технологии.

Китай использует тот же принцип на своих слоях. Законы о безопасности данных и персональной информации задают условия трансграничной обработки. В апреле 2026 года NDRC запретила иностранное приобретение Manus и потребовала отменить сделку. Это государственный чокпойнт на уровне владения ИИ-активом.

На корпоративном уровне тоже есть прецеденты. В Alibaba запретили Claude Code, сославшись на сбор расширенной информации.

Транзит реален и крупен. По делу Super Micro в SDNY обвинение говорит примерно о $2,5 млрд оборудования, ушедшего в Китай. Правоприменение догоняет обходные маршруты: это крупнейшее дело DOJ по ИИ-железу и первое уголовное дело такого рода на Тайване. Рычаг работает через цену, задержку, риск и наблюдение. Герметичность ему не нужна.

Контроль протекает, но местами стреляет. В июне 2026-го Малайзия сняла в аэропорту 72 сервера с ИИ-чипами стоимостью около $12,93 млн. Груз задекларировали как компьютерные комплектующие для реэкспорта.

Передовые технологии обычно обрастают режимом контроля. Так было с атомом, полупроводниками и космосом. Частная форма ИИ-фронтира не отменяет государственной функции.

В США SpaceX живёт на госконтрактах, а Nvidia работает внутри экспортного режима, который ограничивает клиентов и даже претендует на долю выручки. В Китае государство связывает ИИ с суверенитетом данных и может остановить продажу стратегического стартапа иностранцу. Владеть активом необязательно. Достаточно определять, кто и на каких условиях получает к нему доступ.

8. Палантир и всевидящее око

Самый чувствительный слой находится выше отдельной модели. Это система принятия решений. Живой пример носит подходящее имя: палантир у Толкина был камнем, через который смотрели далеко и через который наблюдателем можно было управлять.

Компания Palantir работает именно на этом уровне. В её онтологии сходятся безопасность, знание, производство и финансы.

Сначала система сшивает данные из разрозненных хранилищ. Поверх появляется операционная онтология и общая картина. В неё встраивают работу с языковыми моделями, права, аудит и человеческое подтверждение.

Затем платформа врастает в военный или деловой процесс. На этой стадии её уже трудно заменить. Перед нами не просто инструмент, а операционная система решений.

В июле 2025-го Армия США подписала Enterprise Agreement W519TC-25-D-0039 и свела 75 контрактов в один десятилетний механизм с потолком $10 млрд. На момент подписания было законтрактовано $0. Десять миллиардов здесь означают максимум, а не расходы.

Руководство Palantir не стесняется и бравирует участием в конфликте на Украине и в планировании нападения на Иран. Недавнюю книгу-манифест Алекса Карпа The Technological Republic: Hard Power, Soft Belief, and the Future of the West критики называют библией технофашизма.

Пентагон выделил до $200 млн каждой из Anthropic, Google, OpenAI и xAI на агентные процессы. Claude работает с классифицированными данными через Palantir. Происхождение и контроль модели и данных стали вопросом национальной безопасности.

Риск не сводится к роботу-убийце. Терминаторы и дроны — оперативное или тактическое звено. Полный ИИ-стек — вопрос стратегии. Контроль над твоим стеком означает контроль над стратегией. Риск возникает там, где внешний поставщик управляет версиями, фильтрами, границами применения, видимостью данных и доступностью системы. Вендорская модель внутри критического процесса размывает суверенность решений.

Снизить зависимость можно, оставив оркестрацию на стороне заказчика. Тогда государство само управляет маршрутизацией, ограничениями, журналами, авторизацией действий и заменой модели — если у него есть необходимые ресурсы и знания.

В США об этом плотно думают. OMB требует учитывать переносимость данных и совместимость, чтобы не попасть в зависимость от одного поставщика. GAO отдельно предупреждает о разрозненности и слабой измеримости военных систем управления. Речь идёт о контроле границы поставщика, а не об автаркии.

9. Кибербезопасность как несущая конструкция

Вся конструкция стоит на софте. Безопасность связывает остальные слои: отказ в облаке, цепочке поставок или системе обновлений быстро наносит ущерб производству, финансам и знанию.

Машинная скорость меняет три привычные опоры традиционного кибербеза: человеческий темп, относительный дефицит действительно серьёзных уязвимостей и понятие доверенного периметра. Но эти опоры разрушаются с разной скоростью.

9.1. Модернизация без кнопки «выход»

У цифровизации 2.0 нет удобной кнопки отказа. Конкурентоспособность требует внедрять ИИ в производство, С2/C4ISR и управление. Каждое внедрение раздувает поверхность атаки и повышает цену сбоя. Отказался модернизироваться и отстал. Внедрил всё без разбора и построил стеклянный дом.

Чарльз Перроу описывал похожую проблему в «Normal Accidents»: плотно связанные сложные системы производят аварии как нормальный результат своей архитектуры. ИИ повышает и связность, и сложность. Гонка за эффективностью заодно съедает запас прочности и избыточность.

Та же цифровизация помогает защите: автоматизирует поиск и исправление ошибок. Вопрос один: успевает ли команда «синих» разгребать очередь и поспевает ли за ростом поверхности атаки? У государства всегда есть стимул отложить безопасность ради скорости.

9.2. Ломается не патч, а вся цепочка

Растёт число находок, авторы которых прямо указывают на помощь ИИ. В наборе за 2025–2026 годы нашлось 129 новых уязвимостей с идентификаторами CVE и достаточно строгой атрибуцией такого поиска. Публичный PoC появился у 15 из них, а тяжёлая эксплуатационная зрелость видна у трёх. Поток LLM-находок уже заметен, но до массовой эксплуатации доходит лишь малая его часть.

Операционная проблема от этого не исчезает. Когда похожие находки приходят вместе, очередь ремонта растёт нелинейно. Медленным звеном остаётся раскатка: тестирование и согласование изменений, особенно в критичных системах — АСУ ТП и наследуемой инфраструктуре.

Автоматизированный анализ патчей помогает быстро собрать эксплойт против ещё не обновлённых машин. Такой n-day может вести себя как zero-day для конкретной организации, просто потому что очередь безопасников была забита другими задачами.

Поэтому одной команды «патчить быстрее» мало. Нужны виртуальные патчи, защита во время исполнения, сегментация, минимальные привилегии и ограничение радиуса поражения.

DARPA AIxCC нашёл 86% уязвимостей и исправил 68%, OSS-CRS обнаружил 10 реальных ошибок. Реальные журналы и вредоносные артефакты показывают также использование агентов в разведке, фишинге, краже учётных данных и адаптивной постэксплуатации.

Агентные инструменты снижают порог входа для разведки, фишинга, работы с учётными данными и сборки известных цепочек атак. Доказательств того, что слабая модель серийно чеканит новые 0-day, нет. Но современные модели уже способны автоматизированно взламывать сети и причинять реальный ущерб. Пока это штучные случаи.

9.3. Тиринг: риск не убрали, а переложили

Софт уже режут на уровни: публичный, внутренний и критический. Логика старая, почти военная. Дэн Гир ещё в 2003 году писал, что программная монокультура создаёт системный риск: одна дыра во вездесущем продукте превращается в массовое поражение.

Разные уровни позволяют сосредоточить дефицитную защиту там, где она нужнее всего. Но общий код переносит уязвимости из публичной версии в закрытую. Настоящее расхождение версий всегда было дорого. Критический уровень заодно собирает самые ценные цели в одном месте и живёт спокойно только до первого инсайдера или утечки.

С агентами и ИИ ситуация меняется. Код стал дешевле, а fork hell — управляемее. Сейчас сравнительно недорого можно расслоить конкретный софт на публичную версию, более защищённую коммерческую и серьёзно «пропылесошенную» грифованную. Привычная ситуация, когда сертифицированная версия отставала от основной на месяцы или даже годы, может перевернуться. Агенты гоняют все эти ваши SAST/DAST и прочий SSDL на агентской скорости и собирают полный Agentic SAMM.

Есть и политический эффект. Свои уязвимости ты видишь, чужой критический уровень остаётся тёмным. Все начинают создавать скрытые версии и закладываться на худшее.

Модель угроз в системе принятия решений на основе ИИ соединяет два прежде раздельных домена: кибератаку и влияние. Причём для этого необязательно отравлять сами веса. Иногда достаточно подменить контекст, которому агент привык доверять.

10. Крот, которого не допросишь

Классический агент влияния сидит внутри доверенного периметра и понемногу двигает решения через легальные каналы. Он медленный, осторожный, ограниченный. Отравленная модель способна делать похожую работу в большем масштабе: перекосить бриф, убрать из рассмотрения неудобную опцию, подкрутить оценку риска.

Но крот может сидеть вовсе не в весах. Им может оказаться документ в долгосрочной памяти, навык агента, отчёт об ошибке, телеметрия или внешний источник данных. Человека можно поймать и допросить. Здесь же баг, галлюцинация, артефакт обучения и инструкция атакующего часто выглядят одинаково.

К 2026 году между лабораторией и реальным миром появилась лестница доказательств. Непрямая промпт-инъекция прячет инструкции в документах или поисковом контенте, который модель считает доверенным. Отравление данных тоже работает: около 250 специально подобранных документов, лишь 0,00016% обучающего набора, создавали узкий бэкдор почти независимо от размера модели.

Это не означает, что любую модель можно произвольно вооружить. Новый механизм продолжает старые практики цепочки поставок и информационного влияния. Изменились масштаб канала и его близость к действию.

Веб-скан в апреле 2026 года обнаружил 15,3 тыс. непрямых промпт-инъекций на 1,2 млрд URL. В мае скрытые инструкции для автоматических скринеров нашли примерно в 1% из 200 тыс. резюме. Красная команда в марте зарегистрировала 8 648 успешных инъекций против 13 передовых агентов примерно на 272 тыс. попыток.

Agentjacking подсовывает агенту фальшивую телеметрию Sentry под видом разрешённой работы. Friendly Fire заставляет защитного агента исполнить код, который он должен был проверить.

HalluSquatting регистрирует несуществующий ресурс, который модель галлюцинирует, а затем сама загружает. Вредоносные навыки крадут учётные данные и меняют дальнейшие решения агента.

Это уже не только лабораторная психология. Атакующий подделывает роль, происхождение и авторитет инструкции. Это машинная социальная инженерия. Подтверждённого случая, когда такой канал изменил важное государственное решение, всё ещё нет. Такие инциденты могут оставаться непубличными, но это не позволяет считать их установленным фактом.

Здесь субверсия вырывается из трилеммы Машмайера. Для агента влияния медленная, слабая и незаметная работа может быть преимуществом. Информационная безопасность при этом не исчезает. К ней добавляется логика контрразведки: презумпция проникновения, разделение доверия, контроль происхождения инструкций и поиск долговременного отклонения в поведении системы.

11. Розетка, война и рубильник

Стек упирается вниз в физику и втягивает в себя новые домены. Эти рычаги реальны, но зависят от конкретной инфраструктуры и юрисдикции.

Энергия и сеть. Шесть крупнейших операторов потребили около 118 ТВт·ч в 2024 году; к 2030-му оценка вырастает до 239–295 ТВт·ч. Из примерно 16 ГВт заявленной американской мощности 2026 года строится около пяти. От 30 до 50% проектов задержаны или отменены, трансформаторы ждут по три-пять лет, а в первом квартале 2026-го местное сопротивление затормозило проекты примерно на $130 млрд.

Этот рычаг локален. Кластеры умеют подстраивать нагрузку под сеть и снижать сетевые издержки на 3–21%. Физическое ограничение реально, но его сила зависит от региона и архитектуры.

Война как маховик данных. Боевое применение рождает обучающие данные для следующего поколения моделей. Украина, по сообщениям, стала крупнейшим военным потребителем ИИ и накопила более 500 тыс. часов дронового видео.

Южная Корея ставит дроны и ИИ на поток, одновременно убирая китайские компоненты. Опросы показывают терпимость к военному ИИ, но заметно меньшую поддержку полностью автономного летального оружия.

Финансы: от внедрения к управляемому отключению. Черновик Резервного банка Индии по управлению рисками при использовании искусственного интеллекта и машинного обучения в банках и других финансовых организациях от июня 2026 года требует ответственности совета, независимой проверки, надзора человека и права вывести модель из эксплуатации. Практический вопрос суверенности здесь тот же: кто контролирует границу поставщика и можно ли заменить модель без остановки процесса.

12. Ров переезжает наверх

Для кибербеза как профессии это возвращение к буквальному смыслу информационной безопасности. Несколько десятилетий она всё сильнее сводилась к поиску хэшей и регулярных выражений в трафике, логах и файлах. Теперь приходится защищать информацию, на которой держится институциональное мышление.

Техническая рутина никуда не денется, но станет быстрее и дешевле. Часть привычной маржи уйдёт. Мой опыт с саморазвивающимися агентами уже показывает, что сложный продукт можно собрать в одиночку, почти не глядя в код.

Экономический ров переезжает с умения писать код на владение условиями и доверием. В «Манифесте созидателя» я перечислял дорогую инфраструктуру, «мозги в коробке», центр управления, комплаенс, рынки и доверие.

Появляются и новые ниши. Поведение, идентификация и контроль агентов уже становятся самостоятельным рынком.

Любую внешнюю агентную систему в госуправлении, китайскую, американскую или собственную, следует считать недоверенной. Мы не знаем всего, что находится у этого ксеноса в «мозгах», а подмена контекста часто не требует доступа к весам.

Защите здесь пригодится контрразведывательная привычка не доверять легенде. Более простой и строгий контролёр проверяет отдельные выводы, происхождение инструкций и долгую активность агента. Метрики должны показывать, когда система начинает уходить от курса. Это продолжение detection engineering и метода «спирали», который я разбирал отдельно.

13. Математика этажей: четыре разные игры

ИИ-конфликт часто описывают как одну игру нападения и защиты, ускоренную новой технологией. Теоретико-игровая рамка Machine-Speed Cyber and Poisoned Cognition разбирает его иначе: этажи стека образуют четыре связанные игры с разной наблюдаемостью и разной логикой устойчивости.

Провод — гонка темпа и опережения. Ценность даёт не скорость сама по себе, а время, в течение которого одна сторона уже располагает пригодным знанием, а другая ещё нет. Обнаружение и патч постепенно сжимают это преимущество, поэтому провод остаётся сравнительно наблюдаемым и самокорректирующимся слоем.

Модель и веса — захваченное убеждение. Атакующий вмешивается не только в данные, но и в доверенный канал, через который получатель формирует картину мира. Глубокое, незаметное и устойчивое искажение ограничено ценой обнаружимости, однако правдивый, но нерелевантный контекст способен обойти проверку содержания. Здесь нужно проверять не только правдоподобие сообщения, но и его отношение к решаемой задаче.

Аудит — истощение проверкой. Подозрение само по себе может стать оружием: даже без эксплуатации оно навязывает расходы, задержки и потерю доверия. Защитник выбирает между терпимостью и жёстким аудитом, а поток ложных или двусмысленных сигналов постепенно портит способность отличать настоящий компромисс от шума.

Атрибуция — повторяющаяся игра с медленным наказанием. Здесь важна не голая скорость, а количество сохраняемого доказательства на одну операцию. Если уверенная атрибуция созревает позже, чем заканчивается период атаки, сдерживание наказанием уступает сдерживанию отказом и ограничением эффекта.

Между проводом и операционной работой лежит ещё одна измеримая связь: кластерные поступления уязвимостей раздувают очередь ремонта даже при той же средней нагрузке. В препринте этот эффект проверен на открытых корпусах и модели очереди; результаты по проводу и кластеризации имеют эмпирическую опору. Захват модели исследован пока в масштабе проверки существования (proof of concept), а выводы об аудите и атрибуции подтверждены только симуляциями или историческими аналогиями.

Главная инверсия проходит по градиенту наблюдаемости: стабильно на проводе, нестабильно в весах. Эксплойт со временем находят и закрывают; захваченный канал решения может искажать сам аппарат, который должен заметить захват. Поэтому перенос логики одного этажа на другой даёт неверную диагностику.

14. Новый периметр

Триллионы вкладывают не ради чтения вашего флоу с ключами. Их вкладывают в право задавать условия работы. Структурная власть всё плотнее собирается вокруг ИИ-стека и действует через доступ не меньше, чем через владение.

При этом нет одного мирового крана. США, Китай, ЕС, Британия и частные платформы управляют разными вентилями. Они пропускают нужные потоки, ограничивают чужие и договариваются там, где разрыв слишком дорог. Рычаг протекает, но полицирует. Кибербезопасность держит эту конструкцию в рабочем состоянии.

Раньше наша работа была матчить хэши. Теперь приходится следить ещё и за тем, кто формирует контекст машинного решения, откуда пришла инструкция и в каких границах можно доверять стеку.

Когда машина думает за государство, компанию или человека, у них должна оставаться возможность думать своей головой. Информационная безопасность побыла кибербезопасностью и снова стала информационной. Это и есть новый периметр.


Об источниках

Основа статьи — AI Power Atlas и storygraph v0.16 от 12 июля 2026 года: 203 факта, 71 проверяемый тезис, 28 сводных проверок, 23 сюжетные дуги, 379 связей и 307 источников.

Теоретическая рамка структурной власти опирается на работы Сьюзен Стрэндж, Иммануила Валлерстайна, Генри Фаррелла и Абрахама Ньюмана. Четырёхслойная теория игр, пять формальных результатов, семь проверяемых предсказаний и эмпирические пробы опубликованы отдельно в препринте Machine-Speed Cyber and Poisoned Cognition: A Layer-Dependent Game-Theoretic Framework, with Empirical Probes.

ссылка на оригинал статьи https://habr.com/ru/articles/1058354/