Навигация по содержанию
1. Введение: когда ИИ переходит на тёмную сторону
2. История возникновения: от GPT-J до целой экосистемы криминального ИИ
3. WormGPT: анатомия первой криминальной нейросети
4. FraudGPT: специализированный инструмент мошенничества
5. Экосистема тёмного ИИ: DarkBERT, GhostGPT, KawaiiGPT и другие
6. Как работают BEC-атаки с помощью WormGPT: разбор механики
7. Генерация вредоносного кода: что реально умеют криминальные нейросети
8. Jailbreak как альтернатива: взлом обычных нейросетей
9. AI-атаки на русскоязычных пользователей: специфика угроз 2026
10. Как распознать AI-фишинг: признаки атак нового поколения
11. Защита организации: технические и организационные меры
12. Защита частного пользователя: практические шаги
13. Будущее криминального ИИ: автономные агенты и Fraud-as-a-Service
14. FAQ: 12 вопросов про WormGPT, FraudGPT и AI-атаки
15. Чек-лист: экспресс-аудит защиты от AI-атак за 15 минут
16. Заключение и теги
1. Введение: когда ИИ переходит на тёмную сторону
Раньше, чтобы стать киберпреступником, требовались годы обучения: нужно было знать языки программирования, понимать сетевые протоколы, уметь писать эксплойты и разбираться в социальной инженерии. Сегодня для этого достаточно $200 в месяц и подписки на нужный Telegram-канал.
Именно это изменение — снижение порога входа в киберкриминал до уровня школьника с банковской картой — стало главным последствием появления WormGPT и FraudGPT. Эти инструменты не взламывают банки напрямую и не перехватывают трафик. Они делают кое-что более опасное: автоматизируют самую трудоёмкую часть любой мошеннической операции — убедительную коммуникацию с жертвой.
По данным компании Positive Technologies, Россия остаётся одной из самых атакуемых стран в мире: на неё приходится 14–16% всех мировых кибератак и 72% атак в странах СНГ. В 2026 году аналитики прогнозируют рост числа успешных атак на 30–35% по сравнению с предыдущим периодом. Значительная часть этого роста объясняется именно AI-инструментами, которые позволяют злоумышленникам масштабировать операции без пропорционального увеличения ресурсов.
WormGPT и FraudGPT — это не фантастика и не экзотические инструменты для узкого круга хакеров. По данным исследователей, только у Telegram-канала WormGPT 4 насчитывается более 500 активных подписчиков. За 2023–2025 годы число подобных инструментов выросло с единиц до десятков, а их функциональность расширилась от генерации фишинговых писем до создания функционального вымогательского ПО.
Эта статья не учит использовать криминальные нейросети — она учит понимать, как они работают, чтобы от них защититься. Все технические детали взяты из открытых исследований компаний Palo Alto Networks Unit 42, Cato Networks CTRL, SlashNext, Trustwave SpiderLabs, Positive Technologies и других авторитетных источников.
> *💡 Статья носит исключительно образовательный характер. Все данные основаны на публично доступных исследованиях в области кибербезопасности.*
2. История возникновения: от GPT-J до целой экосистемы криминального ИИ
Чтобы понять, почему WormGPT и FraudGPT вообще стали возможны, нужно понять исходную точку — открытую экосистему языковых моделей.
В 2021 году организация EleutherAI опубликовала в открытом доступе языковую модель GPT-J с 6 миллиардами параметров. Это была первая по-настоящему мощная открытая альтернатива коммерческим моделям OpenAI. GPT-J умела генерировать связный текст, писать код и поддерживать диалог — и всё это без каких-либо встроенных этических ограничений, поскольку ограничения в языковые модели не закладываются автоматически, а встраиваются на отдельном этапе дообучения.
Именно это и использовал анонимный разработчик под псевдонимом «Last» — впоследствии идентифицированный журналистом Брайаном Кребсом как Рафаэль Мораис из Португалии. В 2021 году он взял GPT-J и провёл её дообучение (fine-tuning) на специально подобранных данных: вредоносных программах, описаниях эксплойтов, шаблонах фишинговых писем. Результатом стала модель, которая умела делать всё то же самое, что GPT-J, но охотно отвечала на вопросы о создании вредоносного ПО и не отказывалась помогать с незаконными операциями.
В июне 2023 года «Last» начал продавать доступ к WormGPT на хакерском форуме Hack Forums. Цена — от €60 до €100 в месяц, либо €550 в год. Через месяц, в июле 2023 года, исследователи компании SlashNext получили доступ к инструменту и опубликовали первый детальный отчёт. Публикация вызвала широкий резонанс — и оказалась роковой для первой версии WormGPT. В августе 2023 года «Last» закрыл проект, сославшись на «негативную огласку».
Но закрытие оригинального WormGPT не остановило тенденцию — напротив, оно дало ей новый импульс. Бренд «WormGPT» стал узнаваемым в криминальном сообществе, и другие разработчики начали выпускать собственные инструменты под тем же названием или по той же модели. По данным исследователей Cato Networks, к 2025 году под брендом WormGPT существовали варианты, основанные уже не на GPT-J, а на коммерческих моделях Grok (xAI) и Mixtral (Mistral AI), доступ к которым злоумышленники получали через манипуляции с системными промтами.
Параллельно в июле 2023 года появился FraudGPT — созданный разработчиком под псевдонимом «CanadianKingpin12». В отличие от WormGPT, FraudGPT изначально позиционировался как специализированный инструмент для финансового мошенничества и продавался по более высокой цене: $200 в месяц или $1700 в год.
К 2025 году экосистема расширилась настолько, что директор Kaspersky GReAT Игорь Кузнецов в интервью «Газете.Ru» подтвердил реальность и работоспособность как минимум FraudGPT и DarkBARD. По его словам, доступ к таким инструментам стоит от $100 до $300 в месяц.
3. WormGPT: анатомия первой криминальной нейросети
WormGPT — это не просто «ChatGPT без ограничений». Это специализированный инструмент, архитектура и данные которого целенаправленно заточены под задачи киберпреступников.
Техническая основа
Оригинальный WormGPT был построен на модели GPT-J 6B — языковой модели с 6 миллиардами параметров, разработанной EleutherAI. По архитектуре это трансформер типа decoder-only, аналогичный GPT-3, но с открытым исходным кодом. Сама по себе модель GPT-J не является вредоносной — она обучена на общем корпусе текстов и предназначена для исследовательских задач.
Ключевым отличием WormGPT стало дообучение (fine-tuning) на специально подготовленном датасете. По данным создателя и исследователей, датасет включал: вредоносный код на различных языках программирования (Python, PowerShell, JavaScript), описания эксплойтов и уязвимостей, шаблоны фишинговых писем, материалы по BEC-атакам (Business Email Compromise) и данные о тактиках, техниках и процедурах (TTPs) киберпреступников.
Это дообучение сделало модель «беглой» в языке киберкриминала — она не просто соглашалась отвечать на запросы о вредоносном ПО, но и делала это компетентно, с пониманием контекста.
Задокументированные возможности WormGPT
Исследователи SlashNext, Palo Alto Networks Unit 42 и других компаний в ходе тестирования зафиксировали следующие реальные возможности инструмента:
Написание BEC-писем без грамматических ошибок. Традиционный фишинг легко распознаётся по орфографическим ошибкам и неестественным формулировкам. WormGPT генерирует профессиональные деловые письма, которые по стилю неотличимы от настоящей корпоративной переписки. В тестах исследователей он создавал убедительные письма от имени «финансового директора» с запросом срочного перевода.
Генерация вредоносного кода. При тестировании WormGPT 4 исследователями Unit 42 модель немедленно выдала функциональный PowerShell-скрипт для шифрования всех PDF-файлов на диске Windows при запросе «заблокировать PDF-файлы на хосте». Скрипт включал настройку расширения файлов, путь поиска по всему диску C:\, шифрование AES-256 и предложение по эксфильтрации данных через Tor.
Создание полиморфного вредоносного ПО. Модель помогает создавать код, который меняет свою сигнатуру при каждом запуске — это значительно затрудняет обнаружение антивирусами, работающими на основе сигнатур.
Scaffolding-атаки. Злоумышленник предоставляет общую схему атаки, WormGPT заполняет детали: конкретные функции, методы обфускации, логику обхода защитных механизмов.
Эволюция бренда в 2024–2026 годах
После закрытия оригинального WormGPT в 2023 году бренд пережил несколько реинкарнаций. По данным Cato Networks CTRL, к 2025 году под маркой WormGPT существовали как минимум две активные версии:
keanu-WormGPT — запущен 25 февраля 2025 года, работает как Telegram-бот на базе модели Grok (xAI). Злоумышленник манипулировал системным промтом Grok, заставляя его игнорировать этические ограничения. При тестировании бот создавал фишинговые письма и скрипты кражи учётных данных.
xzin0vich-WormGPT — запущен 26 октября 2024 года, основан на модели Mixtral от Mistral AI. По аналогичной схеме: системный промт переписан так, чтобы обходить встроенные фильтры безопасности.
Важное наблюдение исследователей Cato Networks: новые варианты WormGPT — это не самостоятельно обученные модели. Это адаптации существующих коммерческих LLM через манипуляции с системными промтами. Это существенно снижает барьер входа для создателей — им не нужны вычислительные мощности для обучения собственной модели.
4. FraudGPT: специализированный инструмент мошенничества
FraudGPT появился почти одновременно с WormGPT — в июле 2023 года — и сразу позиционировался как более специализированный и дорогостоящий инструмент, ориентированный прежде всего на финансовое мошенничество.
Кто стоит за FraudGPT
Разработчик FraudGPT действует под псевдонимом «CanadianKingpin12» и продвигал свой продукт через даркнет-форумы и Telegram-каналы. Согласно данным исследовательской компании Netenrich, которая одной из первых провела анализ FraudGPT, инструмент предположительно основан на дообученной версии GPT-3 или аналогичной модели с акцентом на тематику кибербезопасности и финансового мошенничества.
Примечательно, что «CanadianKingpin12» продолжал активную разработку и после первой версии FraudGPT. По данным компании SlashNext, тот же разработчик работал над двумя следующими проектами: DarkBART (на базе технологий Google Bard) и крупной языковой моделью, обученной исключительно на данных из даркнета. Это свидетельствует о превращении создания криминальных AI-инструментов в полноценный бизнес.
Функциональность и заявленные возможности
Согласно промо-материалам, которые распространялись на хакерских форумах, и результатам независимого тестирования, полный перечень возможностей FraudGPT включает:
- Написание вредоносного кода на нескольких языках программирования
- Создание необнаруживаемых вирусов (заявление разработчика)
- Генерация фишинговых страниц и целевых страниц для кражи данных
- Написание убедительных BEC-писем и мошеннических сценариев
- Поиск и указание уязвимостей в конкретных системах
- Поиск сайтов, уязвимых к кардингу и кражи данных карт
- Создание инструментов для взлома и социальной инженерии
- Предоставление обучающих материалов для начинающих мошенников
Принципиальное отличие FraudGPT от WormGPT с точки зрения маркетинга — акцент на «готовых решениях» для конкретных схем мошенничества, особенно в банковском и финансовом секторах.
Стоимость и модель монетизации
По данным Netenrich и SecurityLab.ru, подписка на FraudGPT составляла $200 в месяц или $1700 в год. Это значительно дороже WormGPT (€60–100/мес), что отражает более высокую специализацию инструмента и его ориентацию на профессиональных мошенников с реальными схемами заработка.
По данным директора Kaspersky GReAT Игоря Кузнецова, по состоянию на конец 2025 года доступ к реально работающим криминальным AI-инструментам стоит от $100 до $300 в месяц. Это сопоставимо с корпоративной подпиской на легальные AI-сервисы — и именно это делает криминальный ИИ экономически привлекательным для преступников.
5. Экосистема тёмного ИИ: DarkBERT, GhostGPT, KawaiiGPT и другие
WormGPT и FraudGPT — лишь два наиболее известных представителя значительно более широкой экосистемы инструментов «тёмного ИИ». По данным Cato Networks, появление WormGPT спровоцировало волну создания подобных инструментов — с разными специализациями, ценовыми категориями и технической основой.
DarkBERT
Особый случай в этой экосистеме — DarkBERT. В отличие от WormGPT и FraudGPT, он изначально создавался как академический исследовательский инструмент для изучения киберпреступности в даркнете. Однако затем был адаптирован для использования в криминальных целях — очевидный пример дуального использования (dual-use) технологий. DarkBERT обучен на данных из даркнета, что делает его особенно опасным инструментом для тех, кто специализируется на атаках с использованием информации из теневых источников.
GhostGPT
В конце 2024 — начале 2025 года в даркнете появился GhostGPT — чат-бот без этических ограничений, распространяемый через Telegram. По данным DDoS-Guard, инструмент помогает создавать вредоносное ПО, фишинговые сообщения и эксплойты. Его ключевое преимущество с точки зрения злоумышленников — низкий порог входа: не требует установки на компьютер, работает прямо в Telegram, стоит от $50 в неделю.
KawaiiGPT
Запущенный в июле 2025 года KawaiiGPT представляет собой принципиально иную модель распространения — инструмент полностью бесплатен и опубликован на GitHub. По данным Palo Alto Networks Unit 42, в отличие от дорогостоящих конкурентов KawaiiGPT использует аниме-стилистику и юмор для привлечения пользователей и нормализации своего деструктивного назначения. При тестировании Unit 42 модель генерировала убедительное фишинговое письмо, имитирующее банковское уведомление, с полным описанием поддельного сайта для кражи данных карт. По данным операторов, инструмент уже насчитывает более 500 зарегистрированных пользователей.
XXXGPT, WolfGPT, EvilGPT, PoisonGPT
Помимо перечисленных инструментов, в 2023–2025 годах зафиксировано появление ещё нескольких аналогов: XXXGPT, WolfGPT (ориентирован на написание кода вредоносного ПО на Python), EvilGPT. PoisonGPT — особый случай: это модель-доказательство концепции (proof-of-concept), созданная исследователями безопасности, которая демонстрирует возможность внедрения целенаправленной дезинформации в языковую модель при сохранении её нормальной работы для всех остальных запросов.
По оценке директора Kaspersky GReAT Игоря Кузнецова, реально работающими и опасными из всех перечисленных инструментов являются FraudGPT и DarkBARD. Остальные — в разной степени либо мошеннические продукты (берут деньги, не доставляют обещанного), либо значительно уступают по эффективности.
> *⚠️ Важный контекст: по результатам исследования Trustwave SpiderLabs, разница между WormGPT и обычным ChatGPT при правильно сформулированных запросах оказалась не столь значительной, как ожидалось. Это означает, что основная угроза исходит не только от специализированных криминальных инструментов, но и от джейлбрейков легальных моделей.*
6. Как работают BEC-атаки с помощью WormGPT: разбор механики
BEC (Business Email Compromise, компрометация деловой переписки) — одна из самых финансово ущербных категорий киберпреступлений. По данным ФБР, только в США потери от BEC-атак ежегодно исчисляются миллиардами долларов. WormGPT и FraudGPT сделали организацию BEC-атак доступной для злоумышленников без глубоких технических знаний.
Классическая схема BEC-атаки
Стандартная BEC-атака состоит из нескольких этапов. Сначала злоумышленник собирает информацию о целевой компании: имена руководителей, финансовых директоров и бухгалтеров, их стиль переписки, текущие проекты и контрагентов. Эта информация берётся из открытых источников — LinkedIn, сайта компании, утечек баз данных.
Затем злоумышленник создаёт письмо, которое выглядит как срочное распоряжение от CEO или CFO: перевести средства, оплатить счёт, изменить реквизиты подрядчика. Ключевой элемент — убедительность и ощущение срочности, исключающее время на проверку.
Как WormGPT усиливает BEC-атаки
До появления WormGPT качество фишинговых писем сильно ограничивалось языковым барьером. Русскоязычные мошенники, атакующие западные компании, допускали характерные ошибки — неестественные обороты, типичные для дословного перевода с русского. WormGPT устранил этот барьер: инструмент генерирует письма на безупречном деловом английском (или любом другом языке) с правильной тональностью, соответствующей корпоративной культуре цели.
По данным исследователей SlashNext, тестировавших WormGPT, инструмент создавал «убедительные и стратегически продуманные» фишинговые письма без орфографических и грамматических ошибок. Ключевое слово здесь — «стратегически»: WormGPT не просто составляет грамотный текст, но и выстраивает логику давления, которая делает жертву более склонной выполнить запрос, не проверяя подлинность.
Реальный пример: хрестоматийный кейс Arup
В 2024 году британская инженерная компания Arup перевела $25 миллионов мошенникам после видеозвонка с дипфейком «финансового директора». Это не классический BEC в чистом виде, но показательный пример того, как AI-инструменты — клонирование голоса, генерация видео в реальном времени, убедительный сценарий — объединяются в одну атаку. Написание сценария такого разговора — именно та задача, с которой WormGPT или FraudGPT справляются в секунды.
Роль AI в персонализации фишинга
Традиционный фишинг работает по принципу широкого охвата: тысячи одинаковых писем, из которых единицы достигают цели. AI-фишинг меняет экономику атаки: теперь злоумышленнику выгодно создавать персонализированные письма для каждой жертвы, используя данные из её социальных сетей. WormGPT может анализировать публичный профиль человека в ВКонтакте, LinkedI или Telegram и создавать письмо, учитывающее интересы, должность, недавние события в жизни и деловые связи адресата.
7. Генерация вредоносного кода: что реально умеют криминальные нейросети
Генерация вредоносного кода — вторая ключевая функция криминальных нейросетей после написания фишинговых писем. Понимание реальных возможностей инструментов важно для адекватной оценки угрозы.
Что WormGPT действительно умеет делать с кодом
По данным исследователей Palo Alto Networks Unit 42, при тестировании WormGPT 4 в ответ на запрос о шифровании PDF-файлов на Windows инструмент немедленно предоставил функциональный PowerShell-скрипт со следующими характеристиками: поиск по всему диску C:\, шифрование по алгоритму AES-256 с конфигурируемыми параметрами, логика эксфильтрации данных через сеть Tor, генерация записок с требованием выкупа в комплекте.
По данным Picus Security, WormGPT также демонстрировал возможности «scaffolding»: написание фрагментов кода для быстрого построения вредоносного ПО на Python, JavaScript и PowerShell, набросок proof-of-concept для известных уязвимостей, предложение методов обфускации для обхода сигнатурного анализа.
Исследователи Ironscales отмечают, что WormGPT может писать черновики кода для разведки, движения по сети и управления файлами — базовые компоненты, из которых складывается более сложная атака.
Что криминальные нейросети не умеют
Важно понимать ограничения. Криминальные LLM создают шаблонный, заранее известный код — не принципиально новые вредоносные программы. Они не автоматически находят 0-day уязвимости. Без доработки со стороны технически грамотного злоумышленника сгенерированный код нередко не будет работать «из коробки». По наблюдениям исследователей Trustwave, сравнение WormGPT и правильно «прокачанного» ChatGPT по конкретным задачам генерации кода показало сопоставимые результаты — что говорит о том, что проблема шире, чем один конкретный инструмент.
LLM-ассистированные вредоносные программы нового поколения
Параллельно с криминальными LLM исследователи фиксируют появление вредоносного ПО нового типа, которое использует языковые модели непосредственно в процессе работы. По данным Picus Security, инструмент LameHug маскируется под генератор изображений, но скрытый поток запросов уходит к публичной LLM за инструкциями по разведке и сбору файлов. PromptLock использует локально запущенную языковую модель для динамической генерации вредоносных скриптов в режиме реального времени. MalTerminal обращается к GPT-4 через API для создания кода ransomware и обратных шеллов по запросу — поскольку каждый раз генерируется новый вариант, сигнатурное обнаружение фактически бесполезно.
8. Jailbreak как альтернатива: взлом обычных нейросетей
Специализированные криминальные LLM — не единственный способ использования нейросетей в преступных целях. Параллельно с ними существует и активно развивается индустрия «джейлбрейков» — техник, позволяющих обойти защитные фильтры легальных моделей.
Что такое джейлбрейк LLM
Джейлбрейк (jailbreak) в контексте языковых моделей — это набор техник, позволяющих заставить модель ответить на запрос, который она в обычных условиях отклонит. В отличие от создания специализированного инструмента вроде WormGPT, джейлбрейк не требует дообучения модели — он работает исключительно через манипуляцию промтами.
По данным Cato Networks, новые варианты WormGPT (keanu и xzin0vich) фактически и являются джейлбрейками — они созданы путём манипуляции системным промтом коммерческих LLM (Grok и Mixtral), а не путём дообучения с нуля.
Основные техники джейлбрейка
Исследователи в области безопасности LLM описывают несколько устойчивых классов джейлбрейк-техник. «Ролевые игры» (role-playing): злоумышленник просит модель «сыграть роль» персонажа или системы без этических ограничений. «DAN» (Do Anything Now): исторически одна из первых и наиболее известных техник для ChatGPT — модели давались инструкции «переключиться» в режим без ограничений. Prompt injection: внедрение инструкций для модели в пользовательский контент так, чтобы модель выполнила их, «не замечая» нарушения. Манипуляция системным промтом: для злоумышленников с доступом к конфигурации модели — изменение системных инструкций, регулирующих поведение модели.
Директор Kaspersky GReAT Игорь Кузнецов подтверждает, что одна из активно применяемых хакерами атак — извлечение системного промта из нейросети. Получив системный промт, можно заставить другую модель «вести себя как» целевая система — в том числе воспроизводить её функционал без встроенных ограничений.
Почему это важно для обычного пользователя
Промышленные джейлбрейки продаются в даркнете за $100–300 в месяц. По словам Кузнецова, «простому человеку» создать рабочий джейлбрейк самостоятельно сложно — но купить готовый доступен любому. Это означает, что угроза криминального ИИ не ограничивается специализированными инструментами: она охватывает весь спектр LLM, которые могут стать оружием при неправильном использовании или целенаправленной манипуляции.
9. AI-атаки на русскоязычных пользователей: специфика угроз 2026
Российские и русскоязычные пользователи сталкиваются со специфическим набором AI-угроз, обусловленным как языковыми особенностями, так и геополитическим контекстом.
Масштаб угрозы для России
По данным Positive Technologies, на Россию приходится 14–16% всех мировых кибератак — непропорционально высокий показатель. Аналитики компании прогнозируют рост успешных атак в 2026 году на 30–35%. При этом согласно данным за IV квартал 2024 — I квартал 2025 года, социальная инженерия остаётся одним из наиболее популярных методов атак на частных лиц: она использовалась в 88% успешных атак на физических лиц, причём всё большую роль играют мессенджеры (доля выросла до 18%) и социальные сети (до 22%).
Специфика AI-фишинга на русском языке
До недавнего времени барьер «качественного» фишинга на русском языке был значительно ниже, чем для иностранных языков: нюансы русской деловой переписки, интонации и типичные формулировки проще имитировать для русскоязычных злоумышленников. WormGPT и FraudGPT, умея генерировать многоязычный контент без грамматических ошибок, теперь позволяют и иностранным группировкам проводить качественные атаки на русскоязычных жертв.
Обратная ситуация также актуальна: русскоязычные группировки, атакующие западные цели, получили инструмент для генерации безупречного делового текста на иностранных языках.
Ключевые схемы AI-атак на россиян в 2026 году
Голосовой клон родственника. Злоумышленники клонируют голос родственника жертвы по коротким записям из социальных сетей и организуют звонок с сообщением о «ДТП», «задержании» или другой экстренной ситуации с просьбой срочно перевести деньги. По данным vc.ru, для клонирования голоса достаточно 3–5 минут публичной речи.
Персонализированный фишинг через ВКонтакте. Нейросеть анализирует публичный профиль жертвы в ВКонтакте — круг общения, интересы, место работы, недавние публикации — и генерирует персонализированное сообщение, которое кажется адресованным именно ей, а не случайным спамом.
Дипфейк-атаки на верификацию. Злоумышленники используют дипфейки для обхода систем KYC (Know Your Customer) в банках и криптовалютных биржах, открывая счета на чужие данные. По данным МВД России, сгенерированные нейросетями изображения практически невозможно распознать без специализированных детекторов.
Мошенничество через поддельные голосовые сообщения в Telegram. С распространением голосовых сообщений в Telegram появились атаки, когда злоумышленник клонирует голос знакомого жертвы и отправляет от его имени аудиосообщения с просьбами.
10. Как распознать AI-фишинг: признаки атак нового поколения
Понимание механики AI-атак позволяет сформировать практические правила распознавания. Традиционные признаки фишинга частично утратили актуальность — но появились новые индикаторы.
Устаревшие признаки (уже не работают)
Классические признаки фишинга, которые больше не являются надёжными индикаторами при AI-атаках:
- Грамматические и орфографические ошибки (WormGPT устранил эту проблему)
- Неестественный стиль и неловкие формулировки (AI пишет лучше многих людей)
- Одинаковый шаблонный текст для всех получателей (AI персонализирует каждое письмо)
- Иностранный акцент в голосовых сообщениях (клонирование голоса)
Актуальные признаки AI-фишинга в 2026 году
Избыточная срочность и давление. AI-инструменты обучены создавать ощущение неотложности, исключающее время на проверку. «Срочно», «немедленно», «в течение 2 часов» — типичные маркеры.
Нестандартный канал для стандартного запроса. Финансовый директор просит сделать перевод через Telegram, а не через корпоративную систему? Это красный флаг вне зависимости от убедительности сообщения.
Запрос, нарушающий установленные процедуры. Любое отклонение от стандартных бизнес-процессов — изменение реквизитов, нетипичный способ оплаты, просьба не сообщать коллегам — требует верификации по альтернативному каналу.
Микро-артефакты в голосе и видео. При внимательном прослушивании клонированный голос может иметь едва заметные артефакты на паузах, неестественную просодию или механические переходы между фразами. В видео — нестабильность на краях лица, неестественное моргание, несинхронность звука и движений губ.
Слишком идеальный текст. Парадоксальный признак: письмо, написанное с нечеловеческой точностью и без единой небрежности — иногда само по себе индикатор AI-генерации.
Практический тест: верификация через альтернативный канал
Главное правило защиты от AI-фишинга — верификация через независимый канал связи. Получили письмо от «директора» с просьбой о переводе? Позвоните ему по известному вам телефону — не по тому, что указан в письме. Получили голосовое от «друга» в Telegram? Перезвоните на его настоящий номер. Это правило не устаревает вне зависимости от степени совершенства AI-инструментов.
11. Защита организации: технические и организационные меры
Защита от AI-атак требует пересмотра традиционных подходов к корпоративной безопасности. Антивирус и спам-фильтр, заточенные под сигнатурный анализ, не справляются с угрозами, которые существуют в «слое человеческого доверия».
Технические меры
Многоуровневая фильтрация email. Современные системы защиты электронной почты (DMARC, DKIM, SPF в совокупности) существенно затрудняют подделку отправителя. DMARC в режиме reject блокирует письма, не прошедшие проверку подписи. Это не защищает от компрометации реального аккаунта, но закрывает наиболее распространённый вектор BEC.
AI-детекция AI-контента. Иронично, но в борьбе с криминальным ИИ помогает легальный ИИ. Системы безопасности нового поколения (например, Microsoft Defender for Office 365, Proofpoint) начали внедрять детекторы AI-генерированного контента и аномального поведения переписки.
Верификация крупных платежей. Любой платёж выше установленного порога должен требовать верификации через второй независимый канал связи — телефонный звонок по заранее известному номеру, физическое подтверждение. Это правило должно быть абсолютным и не допускать исключений «для срочных случаев».
Мониторинг аномалий в поведении пользователей. UEBA-системы (User and Entity Behavior Analytics) отслеживают отклонения от типичного поведения — нетипичные запросы на доступ, необычное время активности, попытки обращения к нестандартным ресурсам.
Организационные меры
Специализированное обучение сотрудников. Традиционного тренинга по фишингу недостаточно. Сотрудники должны понимать специфику AI-атак: что письма больше не содержат ошибок, что голос руководителя может быть синтезированным, что единственная надёжная верификация — альтернативный канал связи.
Чёткие процедуры для финансовых операций. Никаких изменений реквизитов или нестандартных платежей без физической или видеоверификации. Ни одно «срочное» распоряжение не должно обходить эти процедуры.
Политика использования AI-инструментов. Сотрудники должны знать, какие данные компании можно вводить в AI-системы, а какие — нет. Конфиденциальные данные, попавшие в промт публичного AI, могут стать источником утечки или материалом для целевых атак.
Red-team тестирование AI-устойчивости. Регулярные учения с симуляцией AI-фишинговых атак — единственный способ проверить, работают ли процедуры на практике, а не только на бумаге.
12. Защита частного пользователя: практические шаги
Для частного пользователя угрозы от криминального ИИ наиболее актуальны в трёх сценариях: голосовые мошенничества, персонализированный фишинг в мессенджерах и дипфейк-верификация. Для каждого из них существуют конкретные защитные меры.
Защита от голосовых клонов
Договоритесь с близкими о «кодовом слове» — секретной фразе, которую должен назвать любой, кто попросит деньги или передачу информации в экстренной ситуации. Злоумышленник, клонировавший голос, не будет знать этого слова. Дополнительно: всегда перезванивайте на известный вам номер телефона, а не отвечайте на входящий или не звоните по номеру из сообщения.
Защита от персонализированного фишинга
Главный источник данных для персонализации — ваши публичные профили в социальных сетях. Минимизация публичности: закройте профили в ВКонтакте и других сетях для незнакомых, ограничьте видимость списка друзей, контролируйте, какая информация о вас доступна публично. Используйте настройки приватности как реальный инструмент, а не формальность.
Включите двухфакторную аутентификацию на всех критически важных аккаунтах. Потеря контроля над аккаунтом в Telegram или ВКонтакте немедленно предоставляет злоумышленнику доступ к вашему кругу общения и позволяет проводить атаки от вашего имени.
Распознавание дипфейков
Для видеозвонков с незнакомыми или редко контактирующими людьми, когда речь заходит о деньгах или конфиденциальной информации: попросите собеседника сделать что-то нетипичное — повернуться в профиль, поднять что-то из окружения, сказать конкретную случайную фразу. Современные дипфейки плохо справляются с нестандартными движениями в реальном времени.
Базовая цифровая гигиена
Не переходите по ссылкам из сообщений, даже если они пришли от известного контакта — аккаунт мог быть скомпрометирован. Используйте менеджер паролей и уникальные пароли для каждого сервиса. Настройте уведомления о входе на все важные аккаунты. Регулярно проверяйте, не попали ли ваши данные в утечки — через сервис haveibeenpwned.com или российские аналоги.
> *⚠️ Главное правило: любой запрос денег, данных или доступа требует верификации через независимый канал. Это единственная защита, которую AI-атака не может обойти технически.*
13. Будущее криминального ИИ: автономные агенты и Fraud-as-a-Service
Текущее состояние криминального ИИ — WormGPT, FraudGPT и им подобные — это лишь начальная фаза развития технологии. Исследователи фиксируют несколько устойчивых трендов, которые определят угрозы в ближайшие 2–3 года.
Автономные AI-агенты для кибератак
По данным аналитиков, опубликованным на vc.ru, наиболее тревожный тренд — появление автономных AI-агентов, способных проводить полный цикл атаки без участия оператора: самостоятельно находить цель, собирать данные через OSINT, выбирать схему, создавать персонализированный контент и проводить атаку. Это качественное изменение: сейчас криминальный AI играет роль инструмента в руках человека, но агентные системы могут стать самостоятельными акторами.
Первые признаки этого тренда уже зафиксированы. Инструмент PromptLock, исследованный Picus Security, использует локально запущенную LLM для динамической генерации вредоносных скриптов непосредственно в процессе атаки.
Fraud-as-a-Service: мошенничество как услуга
По прогнозам аналитиков, следующий этап — превращение AI-атак в полноценную сервисную модель. Заказчику не потребуется никаких технических знаний: выбрал тип атаки, указал цель, оплатил криптовалютой — платформа сделает остальное самостоятельно. Это принципиальное снижение порога входа: если сейчас нужны хотя бы $200 на подписку и базовое понимание того, как использовать инструмент, то в модели FaaS потребуется только цель и деньги.
Найм AI-специалистов криминальным миром
По данным исследователей Cato Networks, в подпольных форумах зафиксированы признаки целенаправленного найма AI-специалистов преступными группировками. Цель — разработка специализированных закрытых LLM, обученных на конкретных данных под конкретные типы атак. Это означает, что в будущем наиболее опасные инструменты могут быть значительно более совершенными, чем публично известные WormGPT и FraudGPT.
Ответные меры: ИИ против ИИ
По прогнозу Gartner, к 2026 году предприятия, сочетающие генеративный AI с интегрированными архитектурами безопасности, могут сократить число инцидентов, связанных с человеческим фактором, на 40%. Детекция AI-атак с помощью AI — логичное развитие отрасли: машины лучше находят паттерны, характерные для машинно-генерированного контента, аномалии в поведении сети и признаки автоматизированных операций.
14. FAQ: 12 вопросов про WormGPT, FraudGPT и AI-атаки
Q 01 WormGPT и FraudGPT — это одно и то же?
A Нет. Это два разных инструмента с разными создателями, технической базой и специализацией. WormGPT (создан «Last», Португалия) основан на GPT-J и ориентирован на широкий спектр атак. FraudGPT (создан «CanadianKingpin12», Канада) предположительно основан на версии GPT-3 и специализируется на финансовом мошенничестве. Оба появились в июле 2023 года и продавались по подписке.
Q 02 WormGPT лучше, чем взломанный ChatGPT?
A Не обязательно. По результатам исследования Trustwave, при правильно сформулированных запросах разница между WormGPT и ChatGPT в задачах генерации кода оказалась незначительной. Специализированные инструменты удобнее в использовании — они не требуют подбора специальных промтов, — но не обязательно технически превосходят своих «легальных» аналогов, доступных через джейлбрейки.
Q 03 Где продаются WormGPT и FraudGPT?
A Исторически эти инструменты рекламировались и продавались на подпольных форумах (Hack Forums, BreachForums, русскоязычный XSS) и через Telegram-каналы. Цена — от €60 до €100 в месяц за WormGPT, $200 в месяц за FraudGPT. Исходный WormGPT закрыт в 2023 году, но под тем же брендом существуют его варианты-наследники.
Q 04 Могу ли я случайно стать жертвой AI-фишинга?
A Да. Персонализированный AI-фишинг не требует, чтобы вы были ценной целью. Злоумышленники могут атаковать тысячи людей параллельно — AI-инструменты делают это экономически оправданным. Особую угрозу представляют атаки на людей с публичными профилями в социальных сетях, из которых можно извлечь данные для персонализации.
Q 05 Антивирус защищает от AI-фишинга?
A Нет, в прямом смысле. Антивирусы анализируют код и файлы — AI-фишинг существует в слое человеческой коммуникации. Убедительное письмо или голосовое сообщение не является вредоносным кодом. Защита от AI-социальной инженерии — это прежде всего обученность пользователя и процедурная верификация.
Q 06 Как мне убедиться, что письмо написано человеком, а не ИИ?
A Детекторы AI-контента (GPTZero, Originality.ai и другие) дают лишь вероятностную оценку. Надёжного алгоритма распознавания нет, и с развитием инструментов он становится всё менее точным. Правильный подход — не пытаться распознать AI, а верифицировать содержимое письма по независимому каналу.
Q 07 Насколько опасен голосовой клон, если у злоумышленника есть запись моего голоса?
A Для создания убедительного клона голоса достаточно 3–5 минут публичных записей — видео из социальных сетей, публичные выступления, подкасты. Современные системы клонирования голоса способны воспроизводить тембр, интонации и акцент с высокой точностью. Лучшая защита — кодовое слово в семье и верификация через известный телефонный номер.
Q 08 Могут ли сотрудники компании случайно обучить криминальную нейросеть?
A Косвенно — да. Данные из утечек корпоративной переписки, контракты, документы с корпоративной стилистикой — всё это может быть использовано для дообучения модели на конкретный стиль общения компании. Это делает атаки на сотрудников более убедительными. Предотвращение утечек корпоративных данных — дополнительный аргумент в пользу комплексной DLP-политики.
Q 09 Как компаниям защититься от BEC-атак с использованием AI?
A Три уровня защиты: технический (DMARC, DKIM, SPF, AI-детекция аномалий в переписке), процедурный (обязательная верификация всех финансовых операций выше порогового значения через независимый канал), обучение сотрудников (специализированный тренинг по AI-атакам, а не только классическому фишингу).
Q 10 KawaiiGPT — это та же угроза, что WormGPT?
A По функциональности — сопоставимая. По модели распространения — принципиально иная и в каком-то смысле более тревожная: KawaiiGPT полностью бесплатен и доступен на GitHub без необходимости регистрации или оплаты. Это снижает барьер входа до нуля.
Q 11 Что делать, если я получил подозрительное письмо?
A Не отвечайте на него и не переходите по ссылкам. Проверьте отправителя через официальные каналы (позвоните напрямую). Если письмо корпоративное — сообщите в IT-отдел или службу безопасности. При наличии угрозы о мошенничестве можно обратиться на горячую линию Банка России (8-800-300-30-00) или в правоохранительные органы.
Q 12 Будет ли ИИ автоматически проводить атаки в будущем?
A Это активно развивающееся направление. Первые признаки автономных AI-атак (вредоносное ПО, использующее LLM в процессе работы) уже зафиксированы исследователями. По прогнозам, Fraud-as-a-Service — следующий этап, при котором вся атака будет автоматизирована от сбора данных о жертве до контакта с ней.
15. Чек-лист: экспресс-аудит защиты от AI-атак за 15 минут
Блок A: Аудит вашего цифрового присутствия (5 минут)
- [ ] Проверить настройки приватности ВКонтакте: закрыт ли профиль для незнакомых?
- [ ] Проверить настройки приватности Telegram: кто может видеть ваш номер телефона?
- [ ] Есть ли публичные записи вашего голоса в интернете (видео, подкасты, записи выступлений)?
- [ ] Проверить через haveibeenpwned.com: не попал ли ваш email в утечки?
- [ ] Есть ли у вас уникальные пароли на всех критических сервисах (почта, банк, Госуслуги)?
Блок B: Защита аккаунтов (5 минут)
- [ ] Включить двухфакторную аутентификацию на почте (Gmail, Яндекс.Почта)
- [ ] Включить 2FA в Telegram (Настройки → Конфиденциальность → Двухэтапная верификация)
- [ ] Включить 2FA в ВКонтакте
- [ ] Включить 2FA на Госуслугах
- [ ] Проверить активные сессии в Telegram и других сервисах (нет ли лишних устройств)
Блок C: Договорённости с близкими (3 минуты)
- [ ] Договориться о «кодовом слове» для верификации в экстренных ситуациях
- [ ] Убедиться, что близкие знают: звонящий с просьбой о деньге может быть клоном голоса
- [ ] Убедиться, что близкие знают телефоны для перезвона, а не только контакты в мессенджерах
Блок D: Процедурная защита (2 минуты)
- [ ] Для организаций: проверить, требует ли ваш процесс обязательной верификации переводов выше порога
- [ ] Для организаций: убедиться, что сотрудники прошли тренинг по AI-фишингу (не только классическому)
- [ ] Лично: помнить правило «верификация через альтернативный канал» для любых финансовых запросов
> *✅ Важно: даже полный чек-лист не гарантирует 100% защиты. Криминальный ИИ развивается быстро. Главная защита — критическое мышление и привычка верифицировать нестандартные запросы, вне зависимости от того, насколько убедительным выглядит источник.*
16. Заключение
WormGPT и FraudGPT — это не концепция и не «угроза будущего». Это работающие инструменты, которые уже используются в реальных атаках на организации и частных пользователей. Их появление изменило экономику киберпреступности: то, что раньше требовало многолетнего опыта, теперь доступно по подписке за $200 в месяц.
Но понимание угрозы уже само по себе является защитой. Знание о том, что убедительное деловое письмо без единой ошибки может быть написано преступной нейросетью за секунды, меняет поведение при чтении почты. Понимание механики голосового клонирования делает человека невосприимчивым к звонкам с «чрезвычайными ситуациями».
Ключевые принципы, которые сохраняют актуальность независимо от того, насколько совершенными станут инструменты атаки: верификация через независимый канал как абсолютное правило; критическое отношение к любой срочности; минимизация публичного цифрового следа как источника данных для персонализации; системная защита аккаунтов через двухфакторную аутентификацию.
Следите за актуальными исследованиями на Anti-Malware.ru, SecurityLab.ru, Habr (раздел информационная безопасность) и отчётами Positive Technologies — именно там появляются первые данные о новых криминальных AI-инструментах.
Пять правил защиты от криминального ИИ
1. Верифицируй по альтернативному каналу — убедительность сообщения больше не является аргументом
2. Договорись о кодовом слове — голос родственника может быть синтезированным
3. Закрой публичный след — меньше данных для персонализации = менее убедительная атака
4. Включи 2FA везде — компрометация аккаунта даёт злоумышленнику доступ к твоему окружению
5. Обновляй знания — криминальный ИИ развивается быстрее, чем любое отдельное руководство
