Хакеры, нацеленные на вашу криптовалюту, получили обновление с помощью ИИ — отчёт Google является тревожным сигналом

Google Threat Intelligence Group (GTIG) опубликовала крупный отчёт по безопасности, предупреждающий, что искусственный интеллект теперь используется хакерами, связанными с государствами, и киберпреступниками в промышленных масштабах. Автономные вредоносные программы, эксплойты нулевого дня, созданные с помощью ИИ, и операции по краже учётных данных представляют прямую и растущую угрозу для пользователей криптовалют, полагающихся на стандартные меры безопасности.

Отчёт, опубликованный 11 мая в блоге Google Cloud и основанный на данных Mandiant по реагированию на инциденты, знаменует собой значительную эскалацию по сравнению с выводами группы за февраль 2026 года. Если в том более раннем отчёте активность с использованием ИИ описывалась как зарождающаяся и экспериментальная, то в новой оценке говорится о зрелом переходе — генеративные модели теперь встроены в атакующие рабочие процессы в масштабе, не как новинка, а как операционная инфраструктура.

ИИ создаёт свой первый эксплойт нулевого дня

Самое значительное раскрытие в отчёте не имеет аналогов. Впервые GTIG выявила угрозу, использующую эксплойт нулевого дня, который, как полагают, был разработан с помощью ИИ. Согласно отчёту, киберпреступник планировал применить этот эксплойт в ходе массовой атаки — сценарий, который мог быть предотвращён благодаря упреждающему обнаружению со стороны GTIG.

В отчёте отмечается, что связанные с Китаем и Северной Кореей государственные субъекты отдельно проявили значительный интерес к использованию ИИ для поиска уязвимостей. Последствия для пользователей криптовалют являются прямыми: интерфейсы кошельков, порталы входа на биржи и инструменты аутентификации на основе расширений браузера зависят от тех же базовых программных слоёв, которые являются целями для эксплойтов нулевого дня.

Полиморфные вредоносные программы и ограничения 2FA для пользователей криптовалют

Помимо разработки эксплойтов нулевого дня, в отчёте документируется ускоренное с помощью ИИ создание полиморфных вредоносных программ — кода, который переписывает свою собственную структуру для уклонения от обнаружения. Согласно анализу GTIG, эти программы связаны с субъектами угроз, предположительно имеющими отношение к России. В полезные нагрузки вредоносных программ встраивается созданная ИИ ложная логика для обхода сигнатурных систем безопасности.

Однако самая прямая угроза для пользователей криптовалют исходит от возможности, которую GTIG называет PROMPTSPY — вредоносной программы на базе ИИ, которая сигнализирует о переходе к автономной организации атак. Согласно отчёту, PROMPTSPY динамически интерпретирует состояния системы и генерирует команды в реальном времени для манипулирования средой жертвы. В применении к краже учётных данных этот класс вредоносных программ может наблюдать за процессами аутентификации и реагировать на них способами, недоступными статическим инструментам атак, включая атаки с использованием времени на SMS- и приложения-основанную двухфакторную аутентификацию во время активных сессий.

Стандартная 2FA, долгое время считавшаяся надёжной базой безопасности для доступа к биржам и кошелькам, работает на предположении, что злоумышленник не может наблюдать и реагировать на окно аутентификации в реальном времени. Автономные вредоносные программы на базе ИИ, способные интерпретировать состояния системы, существенно меняют это предположение.

Среда угроз, которая изменилась

Отчёт GTIG представляет текущий момент как точку бифуркации двойного назначения — ИИ одновременно становится высокоценной целью для атак и сложным двигателем, движущим эти атаки. Для участников зарождающегося сектора цифровых активов, где одна скомпрометированная сид-фраза или токен сессии означают безвозвратную потерю, последствия значительны.

Практики безопасности, которые адекватно защищали пользователей криптовалют два года назад, становятся всё более недостаточными перед лицом арсенала злоумышленников, который теперь включает эксплойты, созданные с помощью ИИ, самоизменяющиеся вредоносные программы и автономные операции по сбору учётных данных, работающие быстрее, чем защитники-люди могут реагировать.

Заключение

Аппаратные ключи безопасности, устройства для подписания с воздушным зазором и архитектуры мультиподписных кошельков представляют собой текущий рубеж значимой защиты — и разрыв между этими мерами и стандартной 2FA никогда не был таким большим. Отчёт Google является чётким сигналом о том, что криптоиндустрия должна адаптироваться к новой реальности, где ИИ используется не только для защиты, но и для атак. Пользователям необходимо пересмотреть свои подходы к безопасности, чтобы защитить свои активы от растущей угрозы.