Как генеративный ИИ и сторонние SDK подорвали безопасность данных

Дата публикации: 04.06.2026
7
Время на прочтение: 7 минут
Дата обновления: 04.06.2026
Автор статьи
Сергей К.
Автор статьи

Меня зовут Сергей я ведущий ecom-эксперт. На начало 2025 года я помог уже 2000+ селлерам, внедрив SelSup в их бизнесы. Записывайтесь ко мне на консультацию - буду рад помочь и Вам

Сергей К.
Кибербезопасность мобильных экосистем России столкнулась с беспрецедентным кризисом: по итогам 2025 года общее количество уязвимостей в популярных мобильных приложениях, разработанных локальными вендорами, достигло 48,8 тысячи. Это на 63% больше, чем годом ранее, сообщают отраслевые источники со ссылкой на исследование специализированной аналитической компании в области прикладной безопасности. Главной причиной взрывного роста эксперты называют массовое использование кода, сгенерированного искусственным интеллектом, а также активное внедрение сторонних SDK и облачных интеграций. Разбираем, какие категории приложений оказались под самым сильным ударом, почему банковский сектор лидирует по темпам роста опасных дефектов и можно ли остановить эту волну в 2026 году.
Попробовать Selsup

📈 Цифры 2025 года: 48,8 тыс. уязвимостей и рост 63%

Исследование охватило несколько сотен наиболее популярных мобильных приложений из различных сегментов — от игр до банковского софта. Основные выводы:

  • Общее количество выявленных уязвимостей в 2025 году составило 48 800 против 29 900 годом ранее.
  • Критические уязвимости — более 19 000 (почти 40% от общего числа).
  • Высокий уровень опасности — дополнительно около 22% всех дефектов.
  • Лишь 16% протестированных приложений не содержали серьёзных проблем (имели только низкорисковые или умеренные уязвимости).
+63%
рост числа уязвимостей за год
48 800
всего уязвимостей в 2025-м
84%
приложений с high/critical багами

🤖 Главный виновник — ИИ-генерируемый код

По данным аналитиков, использование языковых моделей для автоматической генерации кода стало системным фактором ухудшения безопасности. Нейросети, особенно популярные LLM, обучены на огромных массивах кода из открытых репозиториев, которые часто содержат устаревшие и уже известные уязвимые паттерны. В результате разработчики, ускоряя процесс написания приложений, копируют и тиражируют опасные конструкции, связанные с хранением токенов, ключей шифрования и персональных данных.

🧠 Оценки экспертов по ИИ-безопасности

Согласно данным одной из исследовательских групп, современные языковые модели пропускают от 40% до 50% уязвимостей в сгенерированном коде. То есть каждая вторая критическая ошибка остаётся незамеченной ИИ и попадает в финальную сборку приложения.

«Нейросети не могут обеспечивать безопасность кода на постоянной основе, поскольку они обучены на устаревших и уязвимых примерах, а также не понимают контекст бизнес-логики», — комментирует руководитель одного из направлений защиты инфраструктурных решений.

📦 Проблема сторонних SDK

Второй значимый фактор — рост числа интеграций со сторонними сервисами (платёжные шлюзы, аналитика, push-уведомления, рекламные сети). Каждый подключаемый SDK добавляет в приложение новые «чёрные ящики» с собственным кодом, который часто не проверяется должным образом.

Это приводит к появлению бэкдоров, небезопасных хранилищ токенов и утечек чувствительной информации через библиотеки с известными CVE.

📱 Самые уязвимые категории: игры, стриминг, финансы и бизнес

Распределение уязвимостей по категориям приложений оказалось неравномерным. Наибольшее количество проблем зафиксировано в следующих сегментах:

  • 🎮 Игры — лидер по абсолютному числу уязвимостей (более 12 тыс.), в основном из-за небезопасного хранения внутриигровых токенов и покупок.
  • 📺 Стриминговые платформы и онлайн-кинотеатры — более 9 тыс. уязвимостей, связанных с защитой контента и пользовательских подписок.
  • 🏦 Финансы и банкинг — почти 8 тыс. уязвимостей, но самое опасное — взрывной рост критических дефектов (см. ниже).
  • 📊 Приложения для бизнеса — около 5,5 тыс., включая утечки корпоративных данных.
  • 📰 СМИ и новостные агрегаторы — более 4 тыс., зачастую связанные с трекерами и утечками персональных данных.

🏦 Банковский сектор под ударом: рост опасных уязвимостей в 10 раз за три года

Особую тревогу вызывает ситуация в финансовом сегменте. За последние три года количество опасных уязвимостей в банковских приложениях выросло почти в десять раз — с примерно 200 случаев в 2022 году до 1 921 случая в 2025 году.

💳 Почему банки стали уязвимее? Интеграция с множеством финтех-сервисов, открытые API, внедрение платежных агрегаторов и биометрических систем — каждое новое подключение увеличивает поверхность атаки. Появляются дополнительные бэкдоры, точки небезопасного хранения ключей и сессионных токенов.

Эксперты связывают резкий скачок с тем, что банки и финансовые организации стремятся к цифровой трансформации быстрее конкурентов, жертвуя безопасностью ради скорости выпуска новых функций. Часто проверки безопасности (security assessments) проводятся формально или уже после релиза, когда уязвимости находят злоумышленники.

🔑 Типичные опасности: небезопасное хранение токенов, ключей и персональных данных

Среди всех выявленных проблем лидируют три категории:

  • Небезопасное хранение токенов аутентификации (JWT, OAuth-токенов) — более 35% критических уязвимостей.
  • Жестко заданные ключи шифрования и пароли в коде (hardcoded secrets) — около 28%.
  • Утечки персональных данных через логи и нешифрованные кеши — более 22%.

По данным одного из центров мониторинга киберугроз, 75% приложений содержат уязвимости, позволяющие злоумышленникам получить доступ к конфиденциальной информации пользователей — от адресов и номеров телефонов до платежных реквизитов.

📉 Нехватка AppSec-специалистов

Проблема усугубляется дефицитом квалифицированных кадров в области безопасности приложений (Application Security). Запрос на рынке труда превышает предложение в 3-4 раза. В результате компании либо нанимают джуниоров, либо вовсе не проводят полноценный анализ безопасности кода.

Ошибки накапливаются, и даже после обнаружения исправление может занимать недели и месяцы.

📊 Прогноз на 2026 год

По оценкам экспертов, количество уязвимостей продолжит расти в 2026 году. Ключевые драйверы: увеличение числа сторонних SDK, внедрение технологий машинного обучения в приложения (которые также пишутся с помощью ИИ) и сохранение практики "скорость важнее безопасности".

Прогнозируемый рост — ещё 35–50% к концу 2026 года.

🧩 Что предлагают эксперты: от разовых проверок к риск-ориентированному подходу

Для перелома негативной тенденции руководитель одного из продуктов в области безопасности приложений предлагает переход от эпизодических проверок к системному риск-ориентированному управлению уязвимостями. Ключевые меры:

  1. Безопасное управление секретами (secrets management) — использование специальных хранилищ ключей и токенов, автоматическая ротация секретов.
  2. Ротация ключей и сертификатов на регулярной основе, без участия разработчика.
  3. Контроль сторонних компонентов (SCA — Software Composition Analysis) — автоматический анализ всех используемых библиотек и SDK на известные CVE.
  4. Защита среды исполнения (RASP — Runtime Application Self-Protection) — встраивание защитных механизмов непосредственно в приложение.
  5. Регулярный SAST и DAST с приоритизацией по бизнес-риску, а не по количеству найденных багов.
🛡️ Важный вывод: только комплексный подход, сочетающий автоматизированные инструменты, обучение разработчиков безопасному кодированию и строгий контроль за ИИ-генерируемым кодом, способен переломить ситуацию. Одиночные проверки раз в полгода больше не работают.

📉 Примеры из практики: утечки, которых можно было избежать

Хотя исследование не приводит конкретных кейсов, эксперты обращают внимание на типичные сценарии атак, которые стали возможны из-за описанных уязвимостей:

  • Извлечение токенов доступа из кэша приложения на «рутированных» устройствах.
  • Перехват API-запросов с последующей подменой параметров (инъекции в JSON, SQL-подобные атаки).
  • Доступ к незашифрованным локальным базам данных SQLite, где хранятся имена, адреса и история заказов.
  • Использование hardcoded ключей для расшифровки трафика между приложением и сервером.

По оценкам, средний ущерб от утечки данных через мобильное приложение для среднего бизнеса может достигать 5–15 млн рублей с учётом штрафов, репутационных потерь и компенсаций клиентам.

📌 Что делать разработчикам и владельцам приложений прямо сейчас

На основе выводов исследования можно сформулировать практические шаги для снижения рисков:

  • Не доверять ИИ-коду без проверки — любые фрагменты, сгенерированные нейросетью, должны проходить автоматический SAST-анализ.
  • Внедрить политику безопасной разработки (SSDLC) с обязательными проверками на каждом этапе CI/CD.
  • Проводить пентесты перед каждым крупным релизом, а не раз в год.
  • Обучать команду основам безопасного кодирования и регулярно обновлять знания о новых типах уязвимостей (OWASP Top 10 Mobile).
  • Минимизировать количество сторонних SDK — каждое подключение должно быть обосновано, а код библиотеки проанализирован.

🔮 Прогноз на 2026–2027: волна уязвимостей не спадает

Руководитель одного из направлений безопасности приложений прогнозирует, что в 2026 году число уязвимостей продолжит расти, причём темпы могут даже увеличиться. Причины:

  • массовый переход компаний на ИИ-ассистентов разработки (Copilot, Cursor и аналоги);
  • усложнение архитектуры приложений (микросервисы, контейнеризация, облачные интеграции);
  • дефицит AppSec-инженеров, который не покрывается даже ростом зарплат;
  • отсутствие жёсткого регулирования в области безопасности мобильных приложений.

Остановить рост, по мнению аналитиков, может только переход от разовых проверок к системному риск-ориентированному подходу, а также внедрение механизмов автоматического исправления уязвимостей в рантайме. Некоторые крупные игроки уже начинают пилотировать RASP-решения, однако для массового рынка это пока дорого и сложно.

🎯 Резюме: 48,8 тыс. уязвимостей — это не просто статистика, это миллионы пользователей, чьи данные находятся под угрозой. Генеративный ИИ оказался палкой о двух концах: ускоряя разработку, он тиражирует ошибки прошлого. Без системных изменений в культуре безопасности и внедрения современных инструментов AppSec, 2026 год принесёт ещё больше критических уязвимостей и новых громких утечек.
Попробовать Selsup
Вверх

Ваш надежный помощник в бизнесе

SelSup — профессиональная ERP-система для онлайн торговли. Если у вас есть своя ERP, мы легко синхронизируемся с ней. 6 модулей для роста ECOM-бизнеса. Помогает сократить время на операционные процессы и сконцентрироваться на стратегии развития компании.

Подходит для владельцев бизнеса и руководителей (для контроля и принятия решений), менеджеров маркетплейсов, менеджеров склада, может использоваться для планирования и работы с маркировкой (для сокращения рутины и ускорения процессов).

Программа состоит из 6 модулей на базе нейросетей:

  • AI-финдир. Проводит анализ слабых точек и показывает зоны роста бизнеса, обеспечивает его стабильное развитие и разрабатывает план роста компании. Он содержит более 16 отчетов, среди которых как привычные (юнит-экономика, ABC-анализ, план-факт продаж), так и новые (рука на пульсе). Информацию в отчетах можно посмотреть так, как вам нужно — в рамках организации или товара. Это сквозная аналитика всего бизнеса в режиме онлайн. За пару кликов вы получите отчет и рекомендации что делать, чтобы расти. Информация будет понятной без финансового образования.
  • PIM-система для маркетплейсов. Интеллектуальное создание карточек стало возможно. Программа помогает управлять карточками товаров на разных маркетплейсах через одно окно: создавать, редактировать, переносить. Она рекомендует категории, значения параметров. Можно создавать карточки даже из 1С, а также в Честном знаке (автоматом получаем “честный штрихкод”).  Она сокращает время на 90%. 3000 товаров создаются за 1 день. Это особенно удобно для компаний с большим ассортиментом — фешн, электроника и др.
  • Умный склад. Порядок на складе и безошибочная сборка — это реально. Синхронизация остатков, автоматический расчет комплектов, работа с дублями, задания для кладовщиков — все это в едином окне. Модуль работает через интерфейс, ТСД или даже телефон. Автоматически печатается этикетка заказа при сканировании ШК товара. Ускорьте сборку заказов по FBS, DBS. Умный склад перепроверит работу сборщиков и не даст им ошибиться. Интеграция со службами доставки и подключение вашего интернет магазина станет решающим для масштабирования вашего бизнеса.
  • AI-планировщик. Планируйте поставки и закупки с помощью искусственного интеллекта. Прогнозируем ваши продажи с учетом более 100 показателей, на основе этого рекомендуем количество к поставке по кластерам. Подключите модуль и добивайтесь успеха в онлайн бизнесе. Поможем исключить кассовые разрывы и аутофстоки.
  • Маркировка товаров. Самый широкий функционал для работы с маркировкой Честный знак. Поможем соблюдать правила маркировки от А до Я: создание карточек, получение GTIN, получение и печать кодов маркировки (этикетки гибко настраиваются — на 1 этикетке маркировка и ШК товара), УПД ДОП, ввод и вывод из оборота, а также матчинг статуса кода маркировки и статуса заказа на маркетплейсе — так вы всех будете соблюдать законодательство и защититесь от штрафов, сэкономите время и нервы.
  • CRM-система. Она позволяет отслеживать коммуникацию с клиентами всех маркетплейсов в одной программе, отвечать на вопросы и отзывы и оказывать клиентский сервис на высочайшем уровне.

Готовое решение обладает теми преимуществами, которых невозможно достичь при использовании Excel или самописных аналитических программ:

  1. Многофункциональность. SelSup имеет большое количество модулей. Вы можете подключить только необходимые функции, не переплачивая за то, чем не будете пользоваться.
  2. Работа в одном окне. Вся работа в приложении ведется через одно окно. Вам не нужно переключаться между личными кабинетами маркетплейсов, вручную формировать заказы для поставщиков, пользоваться несколькими программами для получения внутренней аналитики.
  3. Безопасность. SelSup — официальный партнер маркетплейсов и системы «Честный знак». Программа получает быстрые обновления при изменении условий работы селлеров с площадками, что гарантирует отсутствие скрытых расходов для продавцов. Гибкая настройка прав доступа.
  4. Интеграция. Сервис интегрируется не только с 1С, но и с другими программами. Он позволяет автоматически формировать накладные в СДЭК и Почте России. Возможна кастомная доработка.
  5. Техническая поддержка. Мы предоставляем пользователям поддержку почти 24/7. Опытные технические специалисты помогут настроить программу, научат ей пользоваться и будут на связи даже в выходные.
Автор статьи
Сергей К.
Автор статьи

Меня зовут Сергей я ведущий ecom-эксперт. На начало 2025 года я помог уже 2000+ селлерам, внедрив SelSup в их бизнесы. Записывайтесь ко мне на консультацию - буду рад помочь и Вам

Сергей К.
Похожие записи
Что родители дарят выпускникам школ — опрос Авито
Узнать подробнее
RWB запускает направление «RWBЗдоровье»
Узнать подробнее
Wildberries разместит пункты выдачи заказов в отелях WB Travel
Узнать подробнее
Закрытых ИП на маркетплейсах вдвое больше, чем открытых
Узнать подробнее
5 новых логистических центров с начала 2026 года и ещё 10 до конца года
Узнать подробнее
Маркировка кофе и цикория с 1 июня 2026 года: что нужно знать продавцам на маркетплейсах
Узнать подробнее
Китайские продавцы на Wildberries: как витрина «Находки из Китая» меняет конкуренцию
Узнать подробнее
Импорт через маркетплейсы: как новые правила Минфина изменят работу селлеров
Узнать подробнее
Как Wildberries меняет поиск: ИИ-ассистент и новая стратегия SEO для продавцов
Узнать подробнее
Яндекс Маркет с 15 июня 2026 года вводит обязательные габариты и вес для всех товаров
Узнать подробнее