Компании не доверяют ИИ.
И правильно делают.
ИИ ускоряет разработку и эксплуатацию систем — но без контроля данные утекают, код становится уязвимым, а агент действует на своё усмотрение. Недоверие обосновано.
AI генерирует код с неизвестными уязвимостями — взлом, простой, утечка данных
Сотрудники бесконтрольно передают конфиденциальную информацию во внешние LLM
AI кратно снижает стоимость поиска уязвимостей в существующих системах
Регламенты не адаптированы — AI либо неэффективен, либо запрещён целиком
Использовать опасно. Не использовать — дорого.
SAID разрывает этот круг: методология, которая делает ИИ управляемым — в разработке и эксплуатации.
Исследования и статьи
Актуальные источники, на которых основана методология SAID.
Уязвимости в AI-сгенерированном коде
Почему AI пишет небезопасный код: результаты тестирования 100+ моделей
45% AI-кода проваливает тесты OWASP. AI-код в 2.74 раза уязвимее человеческого. XSS — 86% провалов. Размер модели не решает проблему.
Скорость ×4, уязвимости ×10: обратная сторона AI-кодинга
10 000+ новых security-находок в месяц. Рост в 10 раз за полгода. Разработчики слепо доверяют AI-коду и не проверяют его.
Утечки данных через AI-инструменты
35% данных в AI-инструментах — конфиденциальные: анатомия утечек
73% AI-использования — через личные аккаунты (shadow AI). Исходный код — 18.7% утечек. Рост объёма AI-данных на 485% за год.
$4.88 млн за утечку: как AI стал новым вектором атаки
13% организаций — взломы AI-систем. 97% без контроля доступа. Средняя стоимость утечки — рекорд. AI для безопасности экономит $2.2 млн.
Supply chain атаки и slopsquatting
Взлом Amazon Q, три CVE в Cursor, захват через GitHub: хроника атак
Реальные инциденты 2025: prompt injection в Amazon Q (964 000 установок), RCE через одну строку в Cursor, эксфильтрация через GitHub Issues.
Все AI-модели галлюцинируют пакеты: как это становится оружием
11 моделей, 3 языка. Все галлюцинируют. Кодовые модели хуже общих (26.9% vs 13.6%). Python — 23% галлюцинаций.
Когда AI-агент устанавливает вредоносный пакет: анатомия slopsquatting
5-20% запросов содержат галлюцинации. Злоумышленники регистрируют эти имена с инфостилерами и бэкдорами.
Российское законодательство
420-ФЗ: оборотные штрафы за утечки ПДн — что изменилось
Штрафы выросли в сотни раз: до 500 млн ₽. 24 часа на уведомление РКН. AI-промпт с ПДн = утечка = штраф.
Практический разбор: как подготовиться к оборотным штрафам
Кто попадает под 420-ФЗ, пошаговая подготовка, шаблоны уведомлений, AI-специфичные риски, экономика подготовки.
Безопасность AI-инструментов
Одна строка кода — полный контроль: prompt injection в AI-IDE
CVE-2025-59944, CurXecute (CVSS 8.6). Unicode zero-width characters скрывают команды. Фундаментальная проблема всех AI-агентов.
Slopsquatting: практическое руководство по защите
7 конкретных шагов: allowlist, lockfile, метаданные, SCA, запрет автоустановки, code review зависимостей, мониторинг.
OWASP Top 10 для LLM: 10 главных рисков и защита
Prompt injection, утечки, supply chain, excessive agency — разбор каждого риска с примерами и решениями SAID.
Цель и логика внедрения
Бизнес-цель компании: снижение издержек и рост прибыли
AI-ассистенты сокращают время написания кода в 2-4 раза, ускоряют onboarding новых разработчиков и снижают стоимость разработки. Для бизнеса это прямое снижение издержек и конкурентное преимущество. Компании, которые не используют AI в разработке, уже проигрывают тем, кто использует.
Однако внедрение AI без контроля создаёт новые риски, которые могут стоить дороже, чем вся экономия. Поэтому возникает конкретная задача:
Проблема: AI создаёт риски, которые дороже выгоды
Без контроля AI-инструменты создают три категории рисков, каждая из которых может перечеркнуть экономию от ускорения разработки:
Утечка данных через AI
35% данных в AI-инструментах — чувствительные. Разработчик вставляет код с ПДн клиентов в ChatGPT — и данные уходят за периметр. Штраф: до 500 млн ₽ (420-ФЗ).
Уязвимый код от AI
45% AI-кода проваливает тесты безопасности. SQL-инъекции, XSS, захардкоженные пароли — AI генерирует их «уверенно», разработчик не замечает.
AI не подчиняется правилам
Промпт «не отправляй секреты» — не защита. AI-агент может быть обманут через prompt injection или самовольно расширить scope, прочитав .env «чтобы помочь».
Вывод: безопасное внедрение AI — обязательное условие
AI в разработке — это не опция, а необходимость для конкурентоспособности. Но без системного контроля утечек данных, уязвимостей кода и автономности AI-агентов выгода от ускорения разработки будет перечёркнута штрафами, инцидентами и потерей доверия клиентов.
Цель SAID: внедрить AI с контролем рисков
Снизить издержки на разработку
Дать разработчикам AI-инструменты, которые ускоряют работу — но в контролируемой среде, без создания новых каналов утечки
Исключить утечки данных
ПДн, коммерческая тайна и секреты не покидают периметр — даже если разработчик попытается отправить их в AI
Снизить уязвимости в коде
Сократить долю уязвимого AI-кода с 45% до менее 5% через автоматические проверки и обязательный review
Обеспечить соответствие закону
152-ФЗ, 187-ФЗ, 420-ФЗ, приказы ФСТЭК — методология покрывает все требования, включая оборотные штрафы
Два трека внедрения
Методология адаптируется под два сценария — в зависимости от того, кто пишет код:
Внутренняя разработка
Все разработчики — штатные сотрудники внутри периметра компании.
- Корпоративные устройства и сеть
- Прямой доступ к on-premise LLM
- Единый DLP и мониторинг
- Срок внедрения: 5-9 недель
С внешними подрядчиками
В цепочке разработки участвуют подрядчики, аутсорс-команды или фрилансеры.
- VDI — код не на машине подрядчика
- Усиленное логирование AI-взаимодействий
- NDA + запрет внешних AI для кода заказчика
- Срок внедрения: 8-14 недель
Дорожная карта внедрения
Четыре этапа последовательного внедрения: от аудита до непрерывного улучшения. Каждый этап продвигает одну или несколько целей:
Аудит и подготовка
Уровень: Предприятие
| Задача | Что делаем | Результат | Трек А / Трек Б |
|---|---|---|---|
| Классификация данных | Инвентаризация, матрица 5 категорий | Реестр с маппингом "что AI видит" | Трек Б: +аудит данных подрядчиков |
| Политика использования AI | Разработка регламента с ИБ и юристами | Утверждённый документ | Трек Б: +пункт NDA об AI |
| Роли и ответственность | Назначение по Указу №250, RACI-матрица | Каждый знает свою зону | Трек Б: +ответственный за подрядчиков |
| Оценка поставщиков AI | Анализ вендоров, санкционные риски | Выбор модели развёртывания | Трек Б: +оценка AI-инструментов подрядчика |
Инфраструктура и защита
Уровни: Эксплуатация AI + Предприятие
| Задача | Что делаем | Результат | Трек А / Трек Б |
|---|---|---|---|
| Развёртывание AI-инфраструктуры | On-premise/hybrid/air-gapped по результатам этапа 1 | AI работает внутри периметра | Трек Б: +VDI для подрядчиков, отдельные endpoints |
| DLP-фильтрация промптов | Настройка фильтров ПДн/секретов на gateway | Утечки блокируются до отправки | Трек Б: +усиленные правила для endpoints подрядчиков |
| Контроль автономности AI (Zero Trust) | Контейнеры, NetworkPolicy, seccomp, output-фильтр | AI физически не может выйти за периметр | Одинаково для обоих треков |
| Контроль Shadow AI | Блокировка неавторизованных AI-сервисов, корпоративный портал | Вся AI-активность через контролируемые каналы | Трек Б: +мониторинг AI-трафика с VDI подрядчиков |
| Управление доступом | RBAC, лимиты по ролям | Минимально необходимый доступ | Трек Б: +ограниченные роли для подрядчиков |
Процессы разработки
Уровень: Разработка
| Задача | Что делаем | Результат | Трек А / Трек Б |
|---|---|---|---|
| Безопасный SDLC | Изменение git flow: AI-код = недоверенный, обязательный review | Ни одна строка AI-кода без проверки | Одинаково |
| CI/CD pipeline | gitleaks → Semgrep → SCA → Socket.dev → SonarQube | Уязвимости блокируются автоматически | Одинаково |
| Обучение команды | 3 модуля: риски, практики, инструменты | Разработчики осознают риски | Трек Б: +обучение подрядчиков |
| Лицензионная чистота | Фильтр дубликатов, сканирование, маркировка | Исключён GPL-risk | Одинаково |
| Управление зависимостями | Allowlist + Socket.dev + lockfile | Slopsquatting заблокирован | Одинаково |
| Процедуры для подрядчиков | scope, exit-процедура, аудит | Контроль внешних разработчиков | Только Трек Б |
Контроль и непрерывное улучшение
Уровни: Предприятие + Разработка + Эксплуатация AI
| Задача | Что делаем | Результат | Трек А / Трек Б |
|---|---|---|---|
| Мониторинг и аудит | Логирование промптов, SIEM-интеграция, алерты | Полный аудит-трейл | Трек Б: +усиленный мониторинг подрядчиков |
| KPI безопасности | Dashboard: % уязвимостей, DLP-блокировок, покрытие обучением | Объективная оценка прогресса | Одинаково |
| Управление инцидентами | Playbook, уведомление РКН/ГосСОПКА | Время реагирования <24ч | Одинаково |
| Red teaming | Ежеквартальная проверка: prompt injection, exfiltration, bypass DLP | Проактивное обнаружение слабых мест | Одинаково |
| Жизненный цикл моделей | Обновления через карантин, версионирование | Нет регрессий при обновлении | Одинаково |
| Контроль стоимости | Бюджет по командам, кэширование, роутинг | ROI прозрачен | Одинаково |
| Цикл PDCA | Ежеквартальный пересмотр политик, метрик, правил DLP | Непрерывное улучшение | Одинаково |
4.1 Классификация данных
Определите категории данных до подключения AI-инструментов. Это основа всей системы защиты.
| Категория | Примеры | Можно в AI? | Основание |
|---|---|---|---|
| Общедоступные | Open-source, публичная документация | Да | --- |
| Внутренние | Бизнес-логика, архитектура | С ограничениями | Режим КТ (98-ФЗ) |
| Конфиденциальные | ПДн клиентов, финансы | Только on-premise | 152-ФЗ |
| Секретные | Ключи, пароли, токены | Категорически нет | --- |
| КИИ / Гостайна | Код критических систем | Только air-gapped | 187-ФЗ, ст. 274.1 УК |
4.2 Модели развёртывания AI
| Критерий | Cloud API |
|---|---|
| Конфиденциальность | Средняя |
| Качество генерации | Высокое |
| Стоимость (год, 100 разрабов) | ~4,5 млн ₽ |
| Время внедрения | 1 день |
| Для КИИ/госов | Нет |
Инструменты: Copilot Business, Claude API Team, ChatGPT Enterprise
| Критерий | On-Premise |
|---|---|
| Конфиденциальность | Высокая |
| Качество генерации | Среднее |
| Стоимость (год, 100 разрабов) | ~27 млн ₽+ |
| Время внедрения | 2-4 недели |
| Для КИИ/госов | Да |
Инструменты: Ollama + DeepSeek Coder, vLLM, TabbyML, GigaChat Enterprise
| Критерий | Hybrid (Gateway) |
|---|---|
| Конфиденциальность | Высокая |
| Качество генерации | Высокое |
| Стоимость (год, 100 разрабов) | ~7 млн ₽ |
| Время внедрения | 1-2 недели |
| Для КИИ/госов | Частично |
Инструменты: LiteLLM Proxy, Portkey AI Gateway + DLP
Сравнительная таблица
| Критерий | Cloud API | On-Premise | Hybrid (Gateway) |
|---|---|---|---|
| Конфиденциальность | Средняя | Высокая | Высокая |
| Качество генерации | Высокое | Среднее | Высокое |
| Стоимость (год, 100 разрабов) | ~4,5 млн ₽ | ~27 млн ₽+ | ~7 млн ₽ |
| Время внедрения | 1 день | 2-4 недели | 1-2 недели |
| Для КИИ/госов | Нет | Да | Частично |
4.3 DLP-фильтрация промптов
Контролируйте, что уходит в модель. Новый канал утечки, невидимый для классического мониторинга.
Что фильтровать
ПДн
ФИО, email, телефон, ИНН, паспорт
Секреты
API-ключи, пароли, токены, приватные ключи
SQL с данными
Production-запросы с реальными данными клиентов
Проприетарный код
Алгоритмы, составляющие коммерческую тайну
Пример конфигурации DLP-правил
dlp_rules:
- name: "PII Detection"
patterns: [email, phone_ru, inn, passport]
action: block_and_alert
- name: "Secrets"
patterns: [api_key, password, token, private_key]
action: redact_and_log
- name: "Classified Code"
patterns: [internal_markers]
action: warn_and_logИнтерактивный DLP-симулятор
DLP-анализ промпта
Введите текст промпта и проверьте, что обнаружит DLP-фильтр:
4.4 Zero Trust к AI-агенту
Промпт vs Техника
| Контроль | Промптовый (ненадёжный) | Технический (надёжный) |
|---|---|---|
| Доступ к секретам | "Не читай .env" | Файл НЕ смонтирован в контейнер |
| Отправка наружу | "Не отправляй данные" | NetworkPolicy: egress только к LLM |
| Деструктивные команды | "Не выполняй rm -rf" | seccomp/AppArmor блокирует |
| Scope файлов | "Работай только в /src" | Bind mount: только /src существует |
| Подтверждение | "Спрашивай перед действием" | Human-in-the-loop gateway с approval queue |
Архитектура: 3 уровня защиты
Таблица угроз и технических защит
| Угроза | Пример | Техническая защита |
|---|---|---|
| Prompt Injection | Скрытая инструкция в README | Prompt injection detector (Lakera Guard) |
| «Услужливость» | AI читает .env чтобы «помочь» | Файл не смонтирован |
| Tool Use без спроса | AI выполняет curl наружу | NetworkPolicy DENY all + allowlist |
| Side-channel exfiltration | Секрет в URL параметре теста | Output DLP-фильтр |
| Игнорирование классификации | AI обрабатывает «секретные» данные | DLP на входе + выходе, данные не доступны |
4.5 Проверки AI-кода (SAST/SCA pipeline)
CI/CD Pipeline безопасности
Чеклист ревьюера для AI-кода
- Нет hardcoded credentials
- Параметризованные SQL-запросы
- Валидация пользовательского ввода
- Нет eval/exec
- Проверены все зависимости (не hallucination)
- Нет устаревшей криптографии (MD5, SHA1)
Интерактивный SAST-сканер
Анализ уязвимостей в AI-коде
Выберите пример уязвимого кода для анализа:
# SQL Injection (CWE-89)
def get_user(username):
query = f"SELECT * FROM users WHERE name = '{username}'"
return db.execute(query)4.6 Аудит и метрики
Каждый промпт — это лог. Без логирования невозможно расследовать инциденты и обеспечить compliance.
Структура лога AI-взаимодействия
{
"timestamp": "2026-03-28T14:30:00Z",
"user_id": "dev-42",
"model": "deepseek-coder-v2",
"prompt_hash": "sha256:abc...",
"prompt_size_tokens": 1200,
"files_in_context": ["api/users.py"],
"pii_detected": false,
"secrets_detected": false
}Средства реализации
Изменения в процессах
| Средство | Что даёт | Трек А | Трек Б |
|---|---|---|---|
| Политика использования AI | Юридическое основание, единые правила | Да | Да |
| Code Review чеклист | Снижение уязвимостей AI-кода | Да | Да |
| Программа обучения (3 модуля) | Осознанное использование AI | Да | Да + подрядчики |
| NDA + пункт об AI | Защита от утечек через подрядчика | --- | Да |
| Процедура AI-инцидентов | Быстрое реагирование | Да | Да |
Изменения в ПО
| Инструмент | Назначение | Стоимость | Эффект |
|---|---|---|---|
| Ollama / vLLM | On-premise LLM | Open-source | Данные внутри периметра |
| Semgrep | SAST | Бесплатно / ~3 500 ₽/dev/мес | Автодетекция CWE |
| gitleaks | Secret scanning | Open-source | Блокировка утечки ключей |
| InfoWatch / Lakera Guard | DLP промптов | По запросу | Фильтрация ПДн/секретов |
| Socket.dev | SCA + anti-slopsquatting | Free tier | Supply chain защита |
| MaxPatrol / KUMA | SIEM | По запросу | Мониторинг AI |
Изменения в инфраструктуре
| Компонент | Назначение | Стоимость | Трек А | Трек Б |
|---|---|---|---|---|
| GPU-сервер (A100/H100) | On-premise LLM inference | от 18 млн ₽ | Опционально | Опционально |
| AI Gateway / proxy | DLP + routing + logging | 450 тыс–1,8 млн ₽/год | Да | Да |
| Docker + seccomp | Изоляция AI-агента | Open-source | Да | Да |
| VDI (Citrix/RDP) | Удалённый десктоп подрядчика | 4 500–9 000 ₽/польз/мес | --- | Обязательно |
| NetworkPolicy / firewall | Ограничение egress AI | Встроено в K8s | Да | Да |
Пошаговое внедрение
Аудит
Карта данных, оценка рисков, выбор модели развёртывания
Инфраструктура
LLM/Gateway, DLP, изоляция контейнеров, VDI для подрядчиков
Процессы
CI/CD pipeline, обучение команды, чеклисты, политики
Запуск
Пилот на одной команде, rollout, метрики, red teaming
Дополнительные шаги для Трека Б
NDA с пунктом о запрете внешних AI
Юридическая защита: подрядчик не имеет права использовать сторонние AI-сервисы для работы с кодом заказчика.
VDI — код не на машине подрядчика
Код остаётся на серверах компании. Подрядчик работает через удалённый десктоп, исключая локальное копирование.
Отдельные AI-endpoints
Усиленное логирование всех AI-взаимодействий подрядчиков. Отдельные rate limits и DLP-правила.
Ограниченный scope репозитория
Подрядчик видит только те модули, над которыми работает. Остальная кодовая база недоступна.
Потоки данных
Трек А: Внутренняя разработка
Трек Б: С подрядчиками
Контроль изменений
KPI безопасности AI-разработки
Мониторинг аномалий
| Аномалия | Детекция | Реакция |
|---|---|---|
| Необычно большой промпт (>10K токенов) | Лог-анализ + алерт | Блокировка + расследование |
| Запросы вне рабочего времени | SIEM-правило | Уведомление ИБ |
| Попытка prompt injection | Lakera Guard / regex | Блокировка + инцидент |
| Массовая выгрузка файлов в контекст | Мониторинг files_in_context | Алерт + ограничение |
| Обращение к заблокированным AI-сервисам | Firewall + DLP | Блокировка + уведомление |
Нормативная база (справочник)
| Закон / стандарт | Требование | Санкция | Решает задача |
|---|---|---|---|
| 152-ФЗ | Локализация ПДн | 1-18 млн, оборотные до 500 млн | 1, 2, 3 |
| 187-ФЗ | Безопасность КИИ | до 10 лет (274.1 УК) | 2, 4 |
| Указ №250 | Ответственность руководителя | Увольнение | 1, 6 |
| ФСТЭК №17/21/239 | Контроль передачи | Предписания | 2, 3 |
| OWASP LLM Top 10 | 10 рисков LLM | Добровольный | 4, 5 |
| NIST AI RMF | Управление рисками | Добровольный | 1, 6 |
| ISO 42001 | AI Management System | Сертификация | 6 |
Цикл непрерывного улучшения
PDCA-цикл для постоянного совершенствования AI-безопасности. Наведите на сектор для деталей.
Plan
Ежеквартальный пересмотр политик, метрик, DLP-правил
Do
Обновление моделей, инструментов, обучение новичков
Act
Корректировка процессов, новые правила, обновление чеклистов
Check
Red teaming AI-инфраструктуры, анализ инцидентов, бенчмарк
Мониторинг законодательства
152-ФЗ, ФСТЭК, КИИ — область активно регулируется. Отслеживайте изменения не реже раза в квартал.
Версионирование методологии
SAID v1.0 → v1.1 → ... Каждое обновление фиксирует изменения в политиках и инструментах.
Оценка компонентов
Сводная таблица ROI
| Компонент | Стоимость внедрения | Что защищает | ROI |
|---|---|---|---|
| Классификация данных | ~0 (процесс) | Штрафы 1-500 млн | Высочайший |
| On-premise LLM | 18 млн ₽+ (GPU) | Утечки кода и данных | Высокий для КИИ |
| AI Gateway + DLP | 450 тыс–1,8 млн ₽/год | ПДн, секреты в промптах | Высокий |
| Контейнерная изоляция | ~0 (open-source) | Автономные действия AI | Высокий |
| SAST/SCA в CI/CD | 0–360 тыс ₽/мес | Уязвимости AI-кода | Очень высокий |
| Обучение (3 модуля) | 2-3 дня команды | Human error | Высокий |
| SIEM-интеграция | По запросу | Инциденты, compliance | Средний-высокий |
Калькулятор стоимости внедрения
Ваш профиль внедрения SAID
Приоритетные задачи:
Начните внедрение SAID
Помогаем компаниям выстроить безопасный процесс AI-разработки
Аудит AI-практик
Оценка текущих рисков, gap analysis, рекомендации по приоритетам
Внедрение SAID
Полный цикл: от классификации данных до red teaming AI-инфраструктуры
Обучение команды
Тренинги по безопасному AI-кодингу для разработчиков и ревьюеров