Cobalt: интерес к полностью автоматизированному пентесту за год снизился с 29% до 9%
Компания Cobalt в отчёте 2026 State of Pentesting сообщила о резком падении доверия к полностью автоматизированным инструментам пентеста. Если год назад автономный подход готовы были использовать 29% опрошенных специалистов по безопасности, то теперь этот показатель снизился до 9%. Как пишет The Register, многие команды разочаровались в таких системах, потому что они пропускают критические уязвимости.
По данным Cobalt, 78% участников опроса сталкивались с «критическими ложными отрицаниями» при работе с автоматизированными сканерами. В компании считают, что такие инструменты хорошо находят известные сигнатурные уязвимости, но заметно хуже справляются с проблемами безопасности в AI- и LLM-средах. Речь, в частности, о prompt injection и ошибках, связанных с чрезмерной автономностью систем. В отчёте говорится, что подобные уязвимости требуют многошагового взаимодействия и не выявляются одиночными автоматизированными запросами.
Cobalt также отмечает разницу между традиционными и AI-ориентированными средами. В обычной инфраструктуре только около 12% найденных уязвимостей относятся к категориям high или critical severity. В AI- и LLM-средах этот показатель достигает 32% и держится на таком уровне уже два года.
Компания предлагает гибридный подход: большую часть систем проверять автоматически, а наиболее критичные, с участием специалистов. При этом Amazon security chief CJ Moses заявил, что AI-инструменты для пентеста повысили эффективность команд Amazon на 40%, хотя такие системы, по его словам, всё равно требуют контроля со стороны человека.
Ключевые факты
Доля специалистов, готовых использовать полностью автоматизированный пентест, снизилась с 29% до 9% за год
78% участников опроса Cobalt сообщили о «критических ложных отрицаниях» в автоматизированных сканерах
В AI- и LLM-средах 32% найденных уязвимостей относятся к high или critical severity против 12% в традиционных средах
CJ Moses заявил, что AI-инструменты для пентеста повысили эффективность команд Amazon на 40%