Intruder создала AI-агента, который проводит пентесты за минуты вместо дней
Лондонская компания Intruder, выпускница кибер-ускорителя GCHQ, запустила AI-агентов для проведения пентестов безопасности компаний. Новые агенты реплицируют по
Ручной пентест стоит $10–50 тысяч, требует недель на подготовку и согласование, дней на выполнение, а отчёт часто устаревает ещё до того, как его полностью прочитают. Это объясняет, почему безопасность в стартапах остаётся на волоске: аудит недешёв, а результаты быстро теряют смысл. Лондонская компания Intruder, выпускница кибер-ускорителя GCHQ, запустила AI-агентов, которые копируют методологию человеческого тестировщика, но выполняют работу на несколько порядков быстрее и дешевле. Это первая по-настоящему автоматизированная система пентестирования, которая не требует ручной подготовки скриптов.
Как работает AI-пентестер AI от Intruder видит экран и браузер ровно как человек.
Это не просто обёртка над готовыми сканерами вроде Burp Suite — система анализирует интерфейс, ищет входные поля, понимает логику приложения и методично пытается её сломать. Типовой процесс: агент открывает целевой веб-сайт, находит форму входа, пробует типовые пароли и стандартные комбинации (admin/password, root/root), анализирует ответ сервера. Затем изучает интерфейс дальше, ищет поля для ввода данных, в каждое вводит типовые вектора атак: SQL-инъекции ('; DROP TABLE users; --), XSS-payload (<script>alert(1)</script>), проверяет реакцию.
Также проверяет права доступа: может ли рядовой пользователь получить доступ к админ-панели, может ли один клиент видеть данные другого. Основные проверки AI: Сканирование открытых портов, сервисов и их версий Тестирование аутентификации: слабые пароли, стандартные креденшалы, обход 2FA Проверка авторизации: горизонтальные и вертикальные привилегии Поиск SQL-инъекций, XSS, CSRF на всех веб-формах Анализ конфигурации: незащищённые S3-бакеты, открытые API-ключи, утечки в коде Генерация отчёта с рекомендациями по исправлению каждой уязвимости ## Экономика пентестирования переворачивается Профессиональный пентестер стоит $50–150 в час. Полный аудит средней компании требует неделю подготовки, неделю тестирования и неделю документирования.
Итого: три недели, $20–50 тысяч, отчёт, который через месяц может быть неактуальным из-за обновлений кода. AI справляется за часы или минуты в зависимости от размера системы, стоимость падает в десятки раз. Для стартапов и SMB это революция — раньше они просто не могли позволить профессиональный аудит.
Теперь проверять безопасность можно регулярно: еженедельно или ежемесячно, как обычный регресс-тест. Это кардинально меняет модель security с разовой проверки на continuous scanning.
Ловушки и ограничения AI отлично работает на типовых уязвимостях, но
часто слепо к логическим ошибкам. Если в приложении нестандартная бизнес-логика (ошибка в алгоритме платежа, позволяющая дешевле купить товар), AI может её пропустить. Кроме того, AI может застрять на капче, не пройти сложный JavaScript-обфускацию, не справиться с WebAssembly на клиенте. На системы, требующие физического доступа или социальной инженерии, AI вообще бессилен. Поэтому AI-пентесты дополняют, но не заменяют полный аудит на критичных системах. Стартапы используют AI для первого слоя. Банки и госучреждения — традиционный пентест плюс AI как второе мнение и непрерывное сканирование.
Что это значит AI в cybersecurity переходит из лабораторий в боевой инструмент.
Безопасность перестаёт быть роскошью крупных корпораций и становится доступна стартапам. Это хорошо: в сети меньше очевидных уязвимостей. Но это плохо: злоумышленники тоже получат доступ к AI-инструментам для атак и подбора паролей. Результат — эскалация: обороняющиеся проверяются чаще, атакующие инновируют быстрее. Для компаний вывод один: безопасность больше не разовая статья расходов, а постоянная практика.