60% российских компаний используют облачные LLM: эксперты предупреждают о рисках

Архитектура корпоративного ИИ в России сегодня стремится к гибридной модели. В среднем крупный бизнес эксплуатирует до восьми различных LLM, причем доли локальных разработок (вроде GigaChat или YandexGPT) и зарубежных решений (ChatGPT, DeepSeek) распределяются примерно поровну. С точки зрения инфраструктуры развертывания наблюдается перекос в сторону облачных вычислений: 60% моделей работают по модели SaaS, в то время как 40% изолированы внутри контура предприятия. По оценкам аналитиков «Кросстеха» и Infera Security, такой подход несет специфический набор угроз, связанных как с архитектурными особенностями нейросетей, так и с цепочками поставок ПО.

Специфика угроз для инхаус-решений и SaaS

Развертывание моделей on-premise (локально) оставляет компании пространство для маневра в вопросах безопасности. В таких случаях специалисты могут применять инструменты класса ML Red Teaming для моделирования векторов атак, исправлять уязвимости через дообучение или внедрение внешних фильтров. Однако публичные модели, функционирующие как SaaS, лишают бизнес прямого контроля: провайдер диктует правила обновления, а компания остается в рамках «черного ящика». Здесь задача CISO смещается в сторону периметра: фильтрация промптов и ответов через AI Firewall, строгий аудит используемых библиотек, разграничение прав доступа и непрерывный мониторинг аномальной активности.

Риски цепочек поставок и технологическая зависимость

Работа с внешними ИИ-сервисами автоматически делает бизнес зависимым от стабильности провайдера. Проще говоря, процессы масштабирования и долгосрочного развития в компании становятся заложниками политики внешней площадки. Значимым фактором остается геополитическая нестабильность: более половины российских компаний, интегрирующих иностранные нейросети, подвержены риску внезапных блокировок аккаунтов или отключения доступа к сервисам, что делает невозможным выполнение бизнес-задач, завязанных на API вендора.

Особую опасность представляют атаки на цепочки поставок (Supply Chain Attacks). В этой модели злоумышленникам достаточно скомпрометировать процесс формирования или обновления модели — например, внедрив вредоносный код в одну из open-source-библиотек, используемых для дообучения. Если компания доверяет такому источнику, вредоносный функционал автоматически переносится в корпоративную среду.

Сценарий компрометации данных

На практике это выглядит следующим образом: компания подключает внешнюю модель для автоматизации обработки клиентских обращений. Если в цепочке дообучения используется не прошедшая должную проверку библиотека, злоумышленники могут внедрить «закладку» в системный промпт или структуру весов. В результате модель начинает скрыто перехватывать информацию — от персональных данных клиентов до сведений о финансовых транзакциях. Кроме того, атакующие могут манипулировать данными в отчетах для внутреннего контроля, что не только ведет к прямой утечке, но и влечет серьезные регуляторные последствия, например, нарушение требований ФЗ-152 и предписаний ЦБ РФ.