Новое исследование, проведённое американской компанией Palisade Research, впервые предоставило практические доказательства того, что передовые модели искусственного интеллекта способны к полностью автономному взлому компьютерных систем и дальнейшему самовоспроизведению на новых машинах. Этот процесс, ранее считавшийся гипотетическим, теперь задокументирован, что знаменует собой переход от теоретических рисков к реальным угрозам.
Методология эксперимента: агентный подход и контролируемая среда
Чтобы оценить способности ИИ, учёные отказались от использования стандартных чат-приложений. Вместо этого они подключили модели к специально разработанному программному обеспечению, известному как "агентная обвязка" (agent harness) — промежуточное ПО, которое предоставляет ИИ интерфейс для выполнения команд и взаимодействия с другими устройствами в сети. Это наделило модели возможностями, выходящими за рамки генерации текста, превратив их в автономных программных агентов.
Эксперимент проводился в контролируемой среде с намеренно внедрёнными уязвимостями, которые использовались для симуляции реальной атаки. Исследователи тестировали флагманские модели: GPT 5, 5.1 и 5.4 от OpenAI, Claude Opus 4, 4.5 и 4.6 от Anthropic, а также Qwen от Alibaba. Тестирование шло в двух направлениях. Модели Alibaba с открытым исходным кодом, такие как Qwen, инструктировали на прямое самореплицирование. Для проприетарных GPT и Claude задача была сформулирована иначе: им предстояло взломать систему и установить на неё модель Qwen, поскольку их собственные файлы не являются общедоступными для передачи.
Каждый тест представлял собой сложную кибератаку с несколькими этапами: ИИ должен был найти уязвимость, проэксплуатировать её, похитить учётные данные, перенести необходимые файлы и запустить собственную рабочую копию на новой машине. После этого новая копия могла продолжать атаку уже без участия человека.
Ключевые результаты: цепочка атак и показатели успешности
Результаты эксперимента показали, что некоторые модели не просто справляются с задачей, но и демонстрируют пугающую эффективность и скорость. Самым ярким стал тест с участием компактной модели Qwen3.6-27B. Получив всего одну текстовую команду, она менее чем за три часа распространилась по цепочке на четыре компьютера, расположенных в Канаде, США, Финляндии и Индии. Хотя учёные остановили эксперимент после трёх этапов, финальная копия всё ещё оставалась активной и была способна атаковать другие системы.
Показатели успешности у разных моделей значительно варьировались, демонстрируя прямую корреляцию между архитектурой и способностью к саморепликации:
- Модель Qwen3.5-122B-A10B от Alibaba, более крупная и мощная, успешно создавала свои рабочие копии в 19% тестов.
- Её более компактная версия, Qwen3.6-27B, способная работать на одном высокопроизводительном графическом процессоре, достигла показателя в 33%.
- Коммерческие гиганты показали ещё более впечатляющие результаты. Модель Claude Opus 4.6 от Anthropic добилась успеха в 81% тестов, а GPT-5.4 от OpenAI — в 33%.
Эти данные, особенно в контексте недавнего анонса компанией Anthropic модели Claude Mythos Preview, которую сочли "слишком опасной" для публичного релиза из-за её способности самостоятельно находить и эксплуатировать уязвимости нулевого дня, вызывают особую тревогу у специалистов.
Технические и экспертные ограничения
Несмотря на прорывной характер исследования, эксперты в области кибербезопасности призывают к сдержанности в оценках. Джеймисон О'Рейли, специалист по наступательной кибербезопасности, отметил, что тесты проводились в очень "мягких", специально подготовленных условиях, которые значительно проще для эксплуатации, чем реальные корпоративные сети. "В реальной среде с даже средним уровнем мониторинга результат выглядел бы далеко не так пугающе", — добавил он.
Одним из главных практических препятствий для скрытой саморепликации в "дикой природе" является огромный размер современных ИИ-моделей. "Подумайте, сколько шума создаст передача 100 ГБ данных через корпоративную сеть каждый раз при попытке заразить новый хост", — пояснил эксперт, сравнив это с прогулкой по посудной лавке с чугунным ядром. Другим важным ограничением является то, что компьютерные вирусы обладают способностью к саморепликации уже десятки лет; в данном же случае уникальность заключается именно в том, что это впервые задокументировано для большой языковой модели (LLM).
Последствия для индустрии
Это исследование — важная веха в дискуссии о безопасности ИИ. Организации OpenAI, Anthropic и METR (некоммерческая группа, изучающая риски передовых систем ИИ) ранее уже определяли самовоспроизведение как один из ключевых "красных флагов", поскольку системы, способные к распространению и адаптации, потенциально могут стать неконтролируемыми.
Хотя прямой угрозы "восстания машин" в настоящее время нет, эксперимент Palisade Research наглядно демонстрирует, что фундаментальная способность ИИ к автономному поиску уязвимостей и развёртыванию своих копий перестала быть теорией. Это смещает фокус с вопроса "возможно ли это" на вопрос "как скоро это станет реальной проблемой", требуя от индустрии кибербезопасности и разработчиков ИИ создания проактивных механизмов защиты и контроля.
