84% российских приложений содержат критические уязвимости — проблемы всё чаще возникают из-за некорректного ИИ-кода

Самые уязвимые категории приложений— игры, онлайн-кинотеатры и финансы

Аналитики AppSec Solutions выяснили, что 84% протестированных приложений содержат уязвимости высокого или критического уровня, причём только критических насчитали более 19 тыс. Главные опасности в Среди последнего вида лидируют такие опасности, как небезопасное хранение токенов, ключей и личных данных пользователей.

Наибольшее число уязвимостей эксперты обнаружили в категориях «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ».

При этом финансовый сектор оказался под самым сильным ударом: за последние три года число опасных уязвимостей в банковских приложениях выросло почти в десять раз — до 1 921 случая в 2025 году.

По мнению аналитиков, увеличение числа угроз связано с интеграцией в банковские приложения сторонних сервисов. Это приводит к появлению в коде дополнительных бэкдоров*Бэкдор (от англ. backdoor — «чёрный ход») — это скрытый способ получить несанкционированный доступ к компьютерной системе, приложению, устройству или данным, минуя стандартные механизмы аутентификации и защиты. и точек небезопасного хранения чувствительной информации.

Популярные языковые модели пропускают до половины всех уязвимостей в коде

Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин пояснил в комментарии «Коммерсанту», что нейросети не могут обеспечивать безопасность кода на постоянной основе, поскольку обучены на устаревших и уязвимых примерах.

По данным ГК «Солар», популярные языковые модели пропускают от 40% до 50% уязвимостей в коде. Нехватка специалистов в сфере AppSec*AppSec (Application Security — безопасность приложений) — это комплекс мер, процессов, практик и инструментов, направленных на защиту программного обеспечения от внешних угроз и уязвимостей только усугубляет накопление ошибок в коде, в том числе критических, что ведёт к утечкам персональных данных. Согласно данным компании, 75% приложений содержат уязвимости, раскрывающие доступ к конфиденциальной информации пользователей.

Количество уязвимостей продолжит расти и в 2026 году

Руководитель продукта AppSec.Sting компании AppSec Solutions Никита Пинаев прогнозирует, что в 2026 году число уязвимостей продолжит расти. Причинами станут увеличение количества сторонних SDK и облачных интеграций, а также использование ИИ-сгенерированного кода, который тиражирует небезопасные паттерны хранения данных.

По мнению Никиты Пинаева, остановить рост числа уязвимостей может переход от разовых проверок к системному риск-ориентированному подходу: безопасному управлению секретами, ротации ключей, контролю сторонних компонентов и защите среды исполнения.

Контекст

По данным МТС, к 2027 году доля кода, написанного нейросетями, в российских IT-компаниях может вырасти до 25%. В самой компании уже 8% кода генерируется ИИ.

Одновременно растёт и число кибератак с использованием ИИ. По данным RED Security, в 2025 году объём фишинга с применением искусственного интеллекта увеличился на 53%. Злоумышленники всё чаще используют нейросети для написания персонализированных писем.