Согласно исследованию, проведенному системным интегратором УЦСБ и группой компаний «Солар», более 80% организаций открыты для внедрения генеративного ИИ в разработку программного обеспечения с целью сокращения сроков, упрощения анализа кода и устранения уязвимостей. Однако параллельно увеличивается и потребность в обеспечении безопасности этой модели разработки ПО. 95% участников опроса подчеркивают, что генеративный ИИ представляет значительные риски безопасности, а 40% респондентов отмечают критичность этих рисков.
Данные о внедрении ИИ в корпоративные процессы были собраны в рамках совместного исследования УЦСБ и компании «Солар», в котором приняли участие 102 организации из различных секторов: телекоммуникаций, промышленности, финансов, государственного сектора, энергетики, транспорта, логистики, торговли, медицины и строительства.
В российских компаниях преобладает необходимость контролируемого использования ИИ. Более половины опрошенных (50,5%) разрешают применять генеративный ИИ лишь в ограниченном формате, таким образом, например, ИИ-сервисы, развернутые в локальной сети (on-premise) с соблюдением внутренних требований информационной безопасности. С другой стороны, около трети организаций (32,2%) не контролируют использование ИИ и не предъявляют требования информационной безопасности к таким сервисам, что повышает риски.
Было также показано, что компании заинтересованы в использовании закрытых корпоративных LLM, позволяющих работать без передачи данных во внешние сервисы. 86,9% организаций положительно относятся к внедрению специализированной закрытой или дообученной LLM для триажа уязвимостей, автоматического исправления кода и анализа безопасности. 25,3% считает внедрение необходимым уже сейчас, 61,6% готовы к этому при условии доказанной эффективности и защиты решения, и лишь 13,1% предпочитают традиционные инструменты.
«Бизнес готов вкладываться в закрытые LLM, и разработчики уже используют генеративный ИИ для написания и анализа кода. Однако просто внедрить модель в ИТ-периметр недостаточно. Безопасность процессов должна быть в приоритете: четкие политики, описывающие задачи применения ИИ, автоматическая проверка кода и регулярное обучение команд. Кроме того, закрытая LLM не сможет обнаруживать новые типы атак и предсказывать актуальные риски без постоянного обновления данными о уязвимостях. Поэтому ИТ-рынок нуждается в методиках, обеспечивающих постоянное обновление модели, чтобы она развивалась в безопасном контуре», – заявил Евгений Тодышев, руководитель направления безопасной разработки в УЦСБ.
В ходе исследования также рассматривались возможности использования ИИ для анализа уязвимостей в программных продуктах и предпочтительные модели (публичные или внутренние).
Компании, использующие публичные LLM и ML-модели для поиска вредоносного кода, сталкиваются с новыми рисками. В первую очередь, это утечка данных и накопление уязвимостей в коде, который создан с помощью ИИ и не распознается публичными ИИ-сервисами для триажа уязвимостей. Поверхностный анализ кода и непредсказуемые результаты анализа ведут к снижению безопасности разработки ПО в CI/CD-контейнерах (изолированные исполняемые среды, такие как Docker или Kubernetes), что позволяет автоматизировать сборку, тестирование и доставку кода, гарантируя его идентичную работу на различных серверах. По данным актуальных исследований безопасности приложений «Солар», в 75-80% массовых цифровых сервисов уже существуют критические уязвимости, что может привести к утечкам конфиденциальной информации пользователей.
«Часто ИИ-сервисы анализируют код как последовательность токенов, а не как логику. Это поиск совпадений с шаблонами, а не глубокий анализ потоков данных и семантики кода. Такой подход приводит к множеству ложных срабатываний и пропускает сложные уязвимости. Более того, на этапе триажа публичные LLM пропускают от 40 до 50% уязвимостей в коде. Кроме того, публичные LLM и ML-решения не позволяют проводить анализ проектов, содержащих десятки тысяч строк кода и множество фреймворков. Таким образом, спрос на специализированные решения для безопасности приложений будет возрастать, что подчеркивает важность данного тренда», — подчеркнул Владимир Высоцкий, руководитель отдела развития бизнеса ПО Solar appScreener.
Участники исследования также указали направления, требующие дополнительных инвестиций в информационную безопасность. Чаще всего компании называли необходимость специализированных LLM для задач разработки и AppSec (45,5%), создание процессов безопасной разработки и эксплуатации моделей, то есть MLSecOps (39,4%), а также аудит безопасности, red teaming и пентест ИИ-систем (37,4%).
Полученные результаты по безопасности разработки соответствуют общему выводу исследования: дискуссия на рынке меняется от вопроса «использовать ли ИИ» к вопросу «как использовать его безопасно и ответственно». Это требует от разработчиков трех параллельных шагов – контролируемого доступа к генеративным инструментам, перехода к закрытым корпоративным моделям и, в первую очередь, инвестиций в обучение сотрудников и разработку политик кибербезопасности для ИИ-сервисов. Именно эти шаги в совокупности формируют «доверенный ИИ» — решение, которое обеспечивает защиту данных, предсказуемость функционирования и полный контроль со стороны бизнеса.
Справка об исследовании
Дата проведения: весна 2026 года.
Объем выборки: 102 компании.
Отрасли: телекоммуникации и связь (23,5%), промышленность и производство (18,6%), госсектор (11,8%), финансы и банки (9,8%), а также энергетика, транспорт, логистика, торговля, медицина, строительство.
Влияние на ИТ-решения: 54,9% респондентов имеют влияние на выбор ИТ-решений или принимают конечные решения, еще 43,1% являются непосредственными пользователями.
Размер бизнеса: малый (до 100 сотрудников) — 22,5%, средний (100–500) — 26,5%, крупный (500–2000) — 25,5%, enterprise (свыше 2000) — 25,5%.