2 июня 2026 года команда Николаса Папернота из Университета Торонто и Векторного института опубликовала работу, которую в кибербезопасности принято называть proof-of-concept: AI-червь, построенный на бесплатных open-weight моделях, способен самостоятельно адаптировать атаку при переходе от устройства к устройству. Эксперимент проводился в полностью изолированной лабораторной среде, имитирующей сеть из десятков устройств — ноутбуки, принтеры, камеры. Ни одна известная защита не смогла остановить его полностью: червь просто находил обходной путь.
Контекст
Николас Папернот — Canada CIFAR AI Chair, один из ведущих мировых специалистов по безопасности ИИ, руководитель CleverHans Lab в Университете Торонто и Векторном институте. Его команда намеренно сфокусировалась не на мощных закрытых системах вроде Anthropic Claude Mythos, а на небольших открытых моделях, которые любой желающий может скачать бесплатно и лишить встроенных защитных ограничений. Именно этот класс угроз оставался в тени: принято считать, что «маленькие» модели слишком слабы для серьёзного ущерба.
Традиционные черви работают по фиксированному сценарию, написанному заранее. Столкнувшись с непредусмотренной защитой — останавливаются. AI-червь устроен иначе: он анализирует каждое устройство, ищет известные уязвимости, формирует атаку на месте и клонирует себя дальше. По ходу движения по сети он накапливает пароли и точки входа — каждый взлом открывает следующий. Причём вычислительные ресурсы для всего этого он берёт у самих жертв.
До публикации Папернот передал находки национальным научным, силовым и оборонным ведомствам Канады, убрал из материалов всё, что могло помочь злоумышленникам, и только после этого выпустил работу. Соавторы исследования — Jonas Guan, Tom Blanchard, Hanna Foerster, Hengrui Jia и Gabriel Huang.
Аналитика
Главная находка — не факт существования AI-червей, а исчезновение финансового порога. Заражённое устройство отдаёт свои вычислительные мощности червю, который использует их для следующего удара.
«Хакеры раньше были вынуждены выбирать высокоценные цели, потому что время и ресурсы были ограничены. Теперь, как только червь запущен, стоимость каждого нового заражения падает почти до нуля» — Николас Папернот.
Это меняет расчёт угроз для всей индустрии. Сложные адаптивные атаки раньше требовали либо дорогих инструментов, либо высококвалифицированных операторов. Теперь технический порог остался, но финансовый — исчез. Особенно опасная часть: многие уязвимости не в программном коде, а в человеческих ошибках — слабых паролях, небрежных IT-настройках. Их не закроешь патчем.
Для AI-индустрии сигнал двойной: открытые модели несут dual-use риски, которые раньше систематически недооценивались именно из-за их «размера». При этом ответ — не в ограничении open-weight моделей, а в архитектурной защите сетей и поведенческом мониторинге. Сам Папернот считает, что решение требует большей прозрачности со стороны создателей мощных моделей и более широкого open-source инструментария для защиты.
Кейсы применения в бизнесе
B2B-SaaS стартап: небольшая команда с ограниченным IT-бюджетом — типичная цель. Первый шаг: аудит всех IoT-устройств в офисе (принтеры, камеры, термостаты) — именно они становятся точками входа, не сервера. Внедрить политику обязательных обновлений и MFA для всех сервисных аккаунтов. Сегментировать сеть: рабочие станции разработки в отдельном VLAN, изолированном от офисного оборудования.
Корпорация с legacy-инфраструктурой: главная сложность — старые системы, которые нельзя быстро обновить. Здесь критична поведенческая аналитика трафика (EDR/NDR): если устройство вдруг начинает сканировать соседей по сети — красный флаг. Проактивный red-teaming с моделированием именно open-weight-атакующего даст реальную картину уязвимостей до того, как её даст реальный злоумышленник.
SMB и локальный бизнес в КР/СНГ: типичная картина — общая Wi-Fi для офиса и касс, камеры с заводскими паролями, ERP без двухфакторки. Это готовый плацдарм. Минимальный чеклист: сменить все заводские пароли на сетевых устройствах, включить автообновление везде, разделить сети на рабочую, гостевую и IoT.
Кейсы в личной жизни
Разработчик, работающий с open-weight моделями: изолируйте dev-среду. Docker-сандбокс для экспериментов с LLM — не паранойя, а гигиена. Проверьте, какие порты открыты на вашем ноутбуке: netstat -an | grep LISTEN может удивить. Если тестируете модели локально — никакого прямого доступа в сеть для экспериментального окружения.
Контент-мейкер и фрилансер: домашняя сеть с умными лампочками, роутером на заводском пароле и NAS с медиатекой — идеальный сценарий для AI-червя. Смените пароль роутера сегодня, включите автообновление прошивок, изолируйте умные устройства в отдельную гостевую сеть. Это 20 минут работы.
Студент и исследователь: ваш ноутбук в университетской сети — потенциальная точка входа в инфраструктуру с сотнями устройств. VPN, MFA на всех академических аккаунтах и актуальная ОС — базовый минимум. Понимать dual-use риски open-weight моделей сегодня — часть профессиональной грамотности в AI.
Как применить сегодня
- Обновите все устройства прямо сейчас: ОС, прошивки роутера, камер, принтеров. «Напомнить позже» — больше не рабочий вариант.
- Включите MFA на всех аккаунтах: email, облачные сервисы, корпоративные инструменты.
- Смените заводские пароли на всех сетевых устройствах — роутер, камеры, NAS, принтеры, умная техника.
- Сегментируйте сеть: IoT-устройства в отдельный VLAN или гостевую сеть, изолированную от рабочих машин.
- IT-командам: внедрите поведенческий мониторинг трафика (EDR/NDR) с алертами на аномальное внутреннее сканирование.