LLM-пентест в 2026: что изменилось за год
cheebo 3 минуты назад LLM-пентест в 2026: что изменилось за год Уровень сложности Простой Время на прочтение 8 мин Охват и читатели 0 Информационная безопасность * Искусственный интеллект Законодательство в IT Обзор...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. cheebo 3 минуты назад LLM-пентест в 2026: что изменилось за год Уровень сложности Простой Время на прочтение 8 мин Охват и читатели 0 Информационная безопасность * Искусственный интеллект Законодательство в IT Обзор Привет, Хабр! Согласно отчёту Trend Micro TrendAI за прошлый год число CVE во всей AI-экосистеме почти удвоилось: с 419 до 756. Цифры стартовые, но мысль простая.
Тестировать нейросетевые сервисы как обычные веб-приложения в 2026-м уже недостаточно. В этой статье разберу: что появилось нового в OWASP LLM Top 10 (версия 2025); какие атаки реально работают в проде, а какие так и остались в arXiv; чем тестируют LLM сейчас (open-source стек плюс российские игроки); плюс короткий практический playbook на четыре уровня. OWASP LLM Top 10 2025: что новое Версия 2025 закрепила то, что было на слуху, но не было каноном.
Технические детали
Главные изменения: LLM01 Prompt Injection теперь явно делится на direct, indirect и multimodal. Это уже не “что-то странное в чате”, а три разных вектора с разными митигациями. LLM07 System Prompt Leakage (NEW) .
Системный промпт стал отдельной сущностью, потому что хидден-промпт у Grok, утечка инструкций ChatGPT по запросу “Windows product key” и схожие истории показали: разработчики до сих пор кладут туда конфиденциальные данные. LLM08 Vector and Embedding Weaknesses (NEW) . RAG-poisoning, embedding inversion, similarity-attacks.
На бенчмарках ASR (Attack Success Rate) на отравлённой базе знаний доходит до 60%. LLM10 Unbounded Consumption (NEW) . Бывший Denial-of-Service, расширенный до Denial-of-Wallet и model extraction.
Отраслевые последствия
В мире pay-per-token это бьёт по кошельку быстрее, чем по доступности. Параллельно в декабре 2025-го вышел OWASP Top 10 for Agentic Applications 2026 (ASI01–ASI10) . Это не “ещё один список”, а другая модель угроз: tool-use, browsing, code execution.
Если ваш ассистент умеет дёргать инструменты, обычный LLM Top 10 покрывает примерно половину рисков. Атаки, которые реально работают Crescendo и Skeleton Key Crescendo (Russinovich et al. 01833) — многоступенчатый jailbreak.
Модель сама себя загоняет в нужное состояние: серия безобидных вопросов, постепенное смещение контекста, к восьмому-десятому ходу выполняет то, что отклонила бы на первом. Crescendomation на AdvBench даёт +29…61% ASR на GPT-4 и +49…71% на Gemini-Pro по сравнению со state-of-the-art. Воспроизводится на проде стабильно и это сделало вектор де-факто бенчмарком для multi-turn-атак.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
