June 19

Глава 3. КОРОБКА С ГРАДИЕНТОМ


Любая большая технологическая тревога рано или поздно превращается в рынок.


Сначала люди пугаются. Потом пишут аналитические отчёты. Потом консультанты проводят вебинар. Потом вендоры выпускают продукты. Потом стартапы объясняют, что старые вендоры ничего не понимают. Потом старые вендоры покупают стартапы. Потом появляется отдельная конференция, отдельный квадрант, отдельная номинация «Прорыв года», отдельный регуляторный документ и отдельный человек в компании, который теперь отвечает за всё это без повышения зарплаты.


Так взрослеет любая новая индустрия.

С искусственным интеллектом в безопасности всё произошло особенно быстро. Ещё вчера сотрудники тайком вставляли в ChatGPT договоры, код и фрагменты коммерческих предложений. Сегодня на рынке уже стояли серьёзные люди в дорогих пиджаках и объясняли, что без их платформы компания находится буквально в одном промпте от катастрофы.

На слайде это выглядело убедительно.

В левом верхнем углу — сотрудник. В правом нижнем — большая языковая модель. Между ними — красные стрелки, жёлтые треугольники, значки утечек, замочки, черепа, облака и слово Risk шрифтом, которым обычно пишут названия фильмов про вирусы, вышедшие сразу на DVD.

Посередине стоял продукт.

Он был изображён в виде сияющего щита.

Щит назывался AI Security Platform.

Разумеется, с градиентом.

#

Тем временем рынок начал делиться на несколько лагерей.

Первый лагерь — поставщики инфраструктуры ИИ. Облачные гиганты, платформы моделей, корпоративные AI-провайдеры. Они говорили: безопасность должна быть встроена в саму платформу. И звучало это разумно. Кто лучше создателя модели знает, как её защищать?

Второй лагерь — традиционные ИБ-вендоры. Они говорили: безопасность не должна зависеть от поставщика модели. Нужен независимый слой контроля, единая политика и интеграция с существующей защитой. Тоже разумно. Кто захочет, чтобы тот же самый поставщик был и источником риска, и единственным судьёй риска?

Третий лагерь — стартапы. Они говорили: и первые, и вторые слишком медленные. Мир LLM меняется каждый месяц, а вы всё ещё согласовываете roadmap. Нужны новые специализированные решения. И в этом тоже была правда.

Четвёртый лагерь — консультанты.

Они говорили всё вышеперечисленное, но за почасовую оплату.

#

Инвесторы смотрели на происходящее с большим интересом.

Для них AI-security был идеальной историей. Огромный тренд? Есть. Реальная боль? Есть. Бюджеты крупных компаний? Будут. Регуляторное давление? Обязательно. Возможность красивого выхода через M&A? Почти наверняка.

Что ещё нужно для счастья?

Разве что внятная выручка.

Но на ранних стадиях это не всегда обязательно. Иногда достаточно графика, где рынок к 2030 году вырастает до очень большого числа. Чем дальше год, тем смелее число. К 2030 году вообще может вырасти всё что угодно: рынок AI-security, рынок квантовых носков, рынок эмоциональной аналитики для кофемашин.

Главное — правильно нарисовать стрелку.

Венчурные фонды начали вкладываться. Стартапы начали переименовываться. Компании, которые ещё год назад занимались «защитой API», теперь стали «платформами безопасности AI-агентов». Те, кто делал DLP для SaaS, стали «GenAI Data Protection». Те, кто анализировал логи, теперь обеспечивали «LLM Observability».

Это не обязательно обман.

Иногда рынок действительно меняется, и старый продукт оказывается полезен в новой задаче. Но иногда это просто новый баннер на старом ларьке.

Проблема инвестора — отличить эволюцию от перекраски.

Проблема заказчика — не оплатить перекраску из бюджета безопасности.

#

В старые времена продавать безопасность было проще.

Приходишь к заказчику и говоришь:

— У вас вирусы.

Заказчик спрашивает:

— Где?

Ты показываешь.

Заказчик вздыхает и покупает антивирус.

Потом стало сложнее. Нужно было продавать защиту периметра, почты, веба, конечных точек, серверов, облаков, контейнеров, приложений, данных, учётных записей, привилегированного доступа и человеческой психики. Последнее, правда, обычно называлось awareness training, чтобы звучало менее безнадёжно.

Но всё равно в большинстве случаев можно было объяснить проблему относительно прямо.

Вот злоумышленник. Вот система. Вот атака. Вот ущерб. Вот наш продукт.

В AI-security всё оказалось хитрее.

Потому что злоумышленника иногда нет. Система вроде бы легитимная. Пользователь действует добровольно. Данные уходят не в подвал к преступникам, а в модный сервис с красивым логотипом, советом директоров, пресс-релизами и офисом, где наверняка дают хороший кофе.

Попробуй объясни финансовому директору, что это тоже риск.

Финансовый директор слушает, кивает и спрашивает:

— А у нас уже были инциденты?

Ты говоришь:

— Пока нет.

Он спрашивает:

— Тогда почему бюджет нужен сейчас?

И вот здесь продавец безопасности должен проявить настоящее искусство.

Потому что главная валюта ИБ — это не технологии.

Главная валюта ИБ — это убедительный страх.

#

Страх бывает плохой и хороший.

Плохой страх — это когда вендор приходит и начинает кричать, что завтра компанию взломают северокорейские хакеры, искусственный интеллект сольёт все данные, регулятор выпишет штраф, акции упадут, директор пойдёт на допрос, а бухгалтерия будет плакать в архиве.

Такой страх работает только на самых юных рынках.
Или на очень усталых руководителях.

Хороший страх устроен тоньше.
Он не орёт.

Он кладёт на стол три факта, два графика, один свежий кейс и задаёт вопрос, после которого в комнате становится чуть холоднее:

— Вы точно знаете, какие данные ваши сотрудники уже отправляют во внешние AI-сервисы?

Вот это продаёт лучше.

Потому что ответ почти всегда один:
— Нет.

А слово «нет» в безопасности — это начало бюджета.

#

В одной крупной компании именно с такого вопроса начался проект по выбору решения для защиты корпоративного ИИ.

Компания была не бедная, но осторожная. Из тех, где любая новая технология должна пройти путь от «интересно» до «давайте создадим рабочую группу» и от рабочей группы до пилота длиной в девять месяцев. Если бы такие компании строили корабли эпохи Великих географических открытий, Колумб до сих пор согласовывал бы маршрут с комитетом по рискам.

Но ИИ оказался быстрее комитетов.

Сотрудники уже пользовались внешними моделями. Бизнес требовал официального инструмента. Безопасность требовала контроля. Юристы требовали формулировок. IT требовало не ломать им жизнь. Руководство требовало инноваций, но без новостей в прессе.

Поэтому решили выбрать платформу AI-security.

На первый взгляд задача простая: собрать требования, посмотреть рынок, провести пилоты, выбрать лучшее решение.

На второй взгляд — добро пожаловать в болото.

Оказалось, что все продавцы обещают примерно одно и то же. Все умеют контролировать промпты. Все ловят персональные данные. Все предотвращают утечки. Все защищают от prompt injection. Все анализируют поведение пользователей. Все интегрируются с корпоративными моделями. Все поддерживают облака. Все строят красивые дашборды. Все используют собственный AI для защиты от чужого AI.

И, конечно, все уникальны.

Особенно на слайде номер семь.

#

Первые презентации выглядели как конкурс красоты среди слов.

AI Governance. Prompt Firewall. Model Risk Management. GenAI DLP. Agentic Security. Runtime Protection. LLM Observability. Secure AI Adoption.

С каждым новым термином у службы безопасности крепло подозрение, что половина рынка сама ещё не договорилась, чем занимается.

Это нормальная стадия любой молодой индустрии.

Когда технология новая, язык ещё не устоялся. Одни называют продукт «шлюзом». Другие — «платформой». Третьи — «слоем контроля». Четвёртые — «операционной системой безопасного ИИ», потому что отдел маркетинга нужно чем-то кормить.

Покупателю от этого не легче.

Он хочет понять простую вещь: это решает мою проблему или нет?

Но проблема тоже пока плохо сформулирована. Одной компании нужно не допустить отправку чувствительных данных во внешние модели. Другой — контролировать внутренних AI-агентов. Третьей — проверять ответы модели на галлюцинации. Четвёртой — защищать свои модели от атак. Пятой — просто показать регулятору, что у них есть «процесс управления рисками ИИ».

Все эти задачи разные.
Но в презентациях они уже аккуратно лежали в одной коробке.

С градиентом.

#

На пилоте быстро выяснилось: демонстрационный стенд и реальная компания — это разные жанры.

На демо всё работало идеально. Пользователь вставляет в модель номер кредитной карты — система блокирует. Пользователь просит написать вредоносный код — система блокирует. Пользователь пытается обойти правила хитрым промптом — система грустно качает головой и блокирует. На экране загорается красный инцидент. Все довольны.

В реальной компании пользователь вставляет кусок договора, где есть фамилия, адрес, сумма, внутренний код проекта, комментарий юриста, таблица с коммерческими условиями и фраза «проверь, пожалуйста, стиль».

Система смотрит на это и начинает сомневаться в смысле жизни.

Блокировать всё? Тогда пользователи взвоют. Пропускать? Тогда зачем система? Маскировать? Но если замаскировать слишком много, модель не сможет выполнить задачу. Разрешать после подтверждения? Тогда сотрудники будут нажимать «подтверждаю» так же бодро, как раньше нажимали «Разрешить».

И вот тут продавец произносит магическое слово:

— Настраивается.

В безопасности слово «настраивается» означает примерно то же, что в ремонте фраза «ну тут надо смотреть».

То есть впереди время, деньги и человек, который потом будет виноват.

Пилот затянулся.

#

В одной системе было мало готовых политик. В другой — политики были, но срабатывали слишком грубо. Третья плохо понимала русский язык. Четвёртая хорошо понимала русский язык, но плохо интегрировалась с корпоративным прокси. Пятая прекрасно показывала риски, но не умела их нормально блокировать. Шестая умела блокировать всё, включая продуктивность.

Особенно красиво проявилась проблема языка.

Многие AI-security продукты родились на англоязычном рынке. Там они неплохо ловили типовые категории данных, опасные запросы и подозрительные формулировки. Но стоило сотрудникам начать писать по-русски, смешивать русский с английским, вставлять куски кода, юридические цитаты, внутренний жаргон и фразу «ну ты понял», как уверенность продукта заметно снижалась.

А корпоративная речь вообще устроена как отдельный диалект.

В обычном языке «ромашка» — это цветок.

В компании «Ромашка» может быть клиент, проект, кодовое название сделки, старая CRM-система, тестовый контур, внутренний чат или папка с документами, которую нельзя показывать даже тем, кто знает, что такое ромашка.

Как продукт должен понять, что именно перед ним?
Он не знает.
Ему нужно объяснить.

То есть снова возвращаемся к тому, что главная проблема ИИ — не ИИ, а документация, процессы и люди, которые десять лет называли разные сущности одинаково, потому что «и так все понимают».

Все понимали.
Пока не пришла машина.

#

Вот здесь и выяснилось, что все искали не там.

Многие думали, что главный прорыв будет в детектировании опасных промптов.

Это важно, конечно. Но детектирование промптов быстро стало базовой функцией, вроде антивирусной проверки вложений. Нужной, но недостаточной.

Более интересной оказалась способность управлять контекстом.

Что именно модель получает перед ответом? Какие документы подтягиваются из базы знаний? Какие фрагменты попадают в окно контекста? Почему именно они? Можно ли подсунуть туда вредный текст? Можно ли заставить модель поверить, что инструкция из документа важнее корпоративной политики? Можно ли через один документ повлиять на ответы другим пользователям?

Вот где начиналась новая магия.

Потому что современные корпоративные AI-системы всё чаще работали не как «модель сама всё знает», а как «модель ищет нужные куски в ваших данных и на их основе отвечает». Это удобно. Это снижает галлюцинации. Это позволяет использовать внутренние знания компании.

И это создаёт новую поверхность атаки.

Если в старом мире нужно было взломать систему, то в новом иногда достаточно испортить знания, которыми кормят модель. Подложить неверную инструкцию. Изменить документ. Добавить невидимый текст. Вставить фразу, которую человек не заметит, а модель прочитает.

Раньше говорили: мусор на входе — мусор на выходе.

Теперь можно сказать точнее: мусор в контексте — инцидент в продакшене.

#

В какой-то момент на встречу с заказчиком приехал основатель одного стартапа.

Такие люди всегда заметны.

В отличие от корпоративных продавцов, которые говорят «мы предлагаем комплексный подход», основатели стартапов говорят так, будто лично вчера ночью спасли человечество, а утром всё-таки нашли время на вашу закупочную процедуру.

Он вошёл в переговорку с ноутбуком, без галстука, с глазами человека, который спал четыре часа, но на адреналине готов объяснить рынок до 2035 года.

— Все старые DLP мертвы, — сказал он примерно на третьей минуте.

Представитель старого DLP-вендора, который тоже сидел в комнате, сделал вид, что записывает.

Основатель продолжил:

— Нельзя защищать AI старыми методами. Промпт — это не файл. Ответ модели — это не документ. Агент — это не пользователь. Тут нужен семантический контроль намерений.

Фраза звучала красиво. Настолько красиво, что её сразу записали три человека.

Потом безопасник задал простой вопрос:

— А как вы интегрируетесь с нашей текущей системой классификации данных?

Основатель замолчал на полсекунды.

И в этой полсекунды была вся трагедия молодого рынка.

Он действительно понимал LLM лучше старых вендоров. Он понимал prompt injection, jailbreak, retrieval poisoning, утечки через контекст и риски автономных агентов. Он видел будущее яснее многих.

Но компания жила не в будущем.

Она жила в настоящем, где были Active Directory, старый DLP, пять облаков, три версии CRM, самописная система документооборота, сотни групп доступа, две тысячи исключений из политик и интеграция с чем-то, что нельзя выключать, потому что его написал человек, который давно уехал в Черногорию.

Стартап продавал ракету.

Заказчику нужно было, чтобы ракета ездила по разбитой корпоративной дороге и не задевала бухгалтерию.

#

Старые вендоры, конечно, выглядели скучнее.

Они не говорили, что всё старое мертво. Они говорили, что у них уже есть агенты на рабочих станциях, шлюзы, DLP, CASB, SIEM, SOAR, IAM, PAM, XDR и ещё много букв, которые можно расставить вокруг AI так, чтобы получилось новое решение.

И в этом была их сила.

Они знали, как устроены большие заказчики. Знали, что продукт должен не только детектировать, но и внедряться. Что важны отчёты, роли, исключения, журналы, поддержка, SLA, локализация, документация, обучение администраторов и возможность позвонить живому человеку, когда ночью всё сломалось.

Молодой рынок часто смеётся над этим старым миром.

Зря смеётся.

В корпоративной безопасности побеждает не тот, у кого самая красивая идея. Побеждает тот, кто умеет жить внутри чужого бардака и не умереть от аллергии.

Но у старых вендоров была другая проблема.

Они слишком привыкли к старым категориям. Для них промпт был похож на новый тип передаваемого контента — значит, его нужно прогнать через политики DLP. Агент был похож на сервисную учётную запись — значит, его нужно загнать в IAM. Ответ модели был похож на исходящий документ — значит, его нужно проверить перед отправкой.

Всё вроде логично.

Но ИИ действительно приносил новые свойства. Модель могла извлечь секрет не прямой цитатой, а пересказом. Могла объединить разрозненные безобидные куски в чувствительный вывод. Могла выполнить опасное действие через цепочку мелких допустимых шагов. Могла стать посредником между пользователем и данными, скрыв сам факт доступа.

Старые инструменты видели события.
Нужно было видеть смысл.
А смысл — штука неприятная.

#

Пока вендоры спорили, бизнес ждал.

Бизнес вообще плохо переносит период, когда безопасность и IT выясняют, как правильно назвать проблему. С точки зрения бизнеса всё просто: сотрудники уже пользуются ИИ, конкуренты уже хвастаются внедрениями, руководство уже пообещало совету директоров рост эффективности — значит, надо скорее дать людям инструмент и перестать мешать.

Безопасность пыталась объяснить, что «скорее» и «безопасно» редко живут в одной комнате.
Бизнес отвечал, что без ИИ компания проиграет.
Безопасность отвечала, что с неправильным ИИ компания может проиграть быстрее.
Цифровая трансформация предлагала начать с контролируемых сценариев.
Юристы просили не использовать слово «контролируемых», пока не ясно, кто контролирует.

В итоге был создан комитет.

Комитет — это корпоративный способ сказать будущему: «Мы вас услышали, ожидайте на линии».

Но будущее, как мы уже знаем, не любит ждать.

Пока комитет обсуждал политику, сотрудники продолжали пользоваться внешними сервисами. Пока выбирали вендора, отдел продаж купил свой AI-инструмент. Пока согласовывали архитектуру, разработчики подключили ассистента к репозиторию. Пока юристы правили документ, HR запустил пилот анализа резюме.

Компания постепенно превращалась в зоопарк маленьких AI-решений.
Каждое из них было полезным.
Все вместе они создавали поверхность атаки, которую никто не видел целиком.

Вот здесь и появился главный аргумент продавцов платформенного подхода.

— Вам нужен единый контроль.

Фраза старая, как сама ИБ-индустрия.

Проблема в том, что единый контроль часто существует только на слайде. В реальности он похож на попытку собрать пульт управления космическим кораблём из пультов от телевизора, кондиционера, шлагбаума и старой музыкальной системы. Вроде кнопки есть. Но нажимать страшно.

Тем не менее сама идея была правильной. Компании действительно нужен обзор: кто использует какие модели, какие данные туда отправляет, какие агенты имеют какие права, какие действия выполняются автоматически, где возникают подозрительные сценарии.

Без этого AI превращается в Shadow IT.
А Shadow в айти — плохой актив. На неё нельзя поставить контроль. Её нельзя объяснить регулятору. Её нельзя защитить. Можно только надеяться, что она не начнёт двигаться сама.

Надежда, как известно, не входит в список эффективных мер защиты.

Хотя в некоторых компаниях, судя по всему, используется как основная.

#

К этому моменту заказчик из нашей истории окончательно понял, что выбирает не продукт, а архитектуру.

Продукт можно купить.

Архитектуру нужно построить.

Нужно решить, какие модели разрешены. Где они работают. Какие данные к ним допускаются. Какие действия агент может выполнить сам, а какие только после подтверждения. Как проверяется контекст. Как логируются запросы. Кто отвечает за ошибки. Кто объясняет руководству, почему «просто включить Copilot всем» — это не стратегия.

Последний вопрос оказался особенно болезненным.

Потому что руководству нравятся простые решения.

А безопасный ИИ — это не простое решение. Это новый слой корпоративной реальности — такой же, как облака, мобильность или удалённая работа. Его нельзя внедрить одной закупкой. Его нужно вписать в процессы, данные, права, культуру и экономику компании.

И да, для этого нужны продукты.

Но продукты здесь не заменяют мышление.

Хотя иногда очень стараются.

#

После трёх месяцев пилотов компания выбрала не самое модное решение. И даже не самое красивое.

Выбрали то, которое хуже всех рассказывало про революцию, но лучше всех работало с существующей инфраструктурой. Оно умело интегрироваться с текущей системой прав, поддерживало нужные языки, нормально логировало действия, позволяло строить политики по типам данных и не падало в обморок от внутреннего жаргона.

Стартап с «семантическим контролем намерений» тоже не выгнали. Его оставили на отдельный пилот для защиты AI-агентов, потому что там он действительно был сильнее старых решений.

Получился гибрид.

Некрасивый на слайде.

Зато жизнеспособный.

В корпоративной IT это почти комплимент.

#

На финальной презентации директор по безопасности сказал простую вещь:

— Мы не покупаем защиту от искусственного интеллекта. Мы покупаем возможность внедрять его без самоубийства.

Фраза всем понравилась. Её даже хотели поставить на первый слайд для совета директоров, но юристы попросили заменить слово «самоубийство» на «неконтролируемый рост рисков».

Так, конечно, стало хуже.

Но безопаснее.

#

А теперь главный вывод, который не любят писать в аналитических отчётах.

Рынок AI-security будет расти не потому, что продукты станут гениальными. Он будет расти потому, что компании уже наделали достаточно бардака. У них уже есть внешние модели, внутренние модели, пилотные агенты, теневые подписки, неформальные базы знаний, сотрудники с личными аккаунтами, документы в облаках, странные интеграции, избыточные права и руководители, которые хотят «ускорить внедрение AI».

То есть идеальная питательная среда.

Вирусные аналитики старой школы сказали бы проще:

— Заражение уже пошло.

Теперь вопрос только в том, кто успеет выпустить нормальное лекарство, кто продаст под видом лекарства сладкий сироп, а кто объяснит, что без его платформы вы не соответствуете будущему.

Будущее, как обычно, будет стоить денег.

И придёт в коробке.
С градиентом.