@gostev_future

Глава 2. ПРОМПТ С КОТЯТАМИ

2026-06-04T16:50:48.529Z

Первое, что люди попросили у нейросети — сделать котёнка.

Не в буквальном смысле. Просто первые несколько месяцев генеративный ИИ использовали примерно так: нарисуй мне котика в стиле Мане, придумай смешную подпись к фото, напиши поздравление коллеге на день рождения. Игрушка. Развлечение. Технология, с которой безопасно экспериментировать, потому что ставки нулевые.

Потом люди не поменяли привычку. Они просто поменяли содержимое промпта.

Если в компании появляется новая технология, её сначала используют не по назначению.

Так было с электронной почтой, которую придумали для обмена сообщениями, а получили рассылку «СРОЧНО! ПРОЧИТАЙ ДО КОНЦА, ИНАЧЕ НЕ БУДЕТ СЧАСТЬЯ». Так было с мессенджерами, которые задумывались для общения, а превратились в основной канал пересылки документов, паролей, сканов паспортов, рабочих поручений, голосовых сообщений и семейных ссор. Так было с облаками, где должен был храниться корпоративный контент, а в итоге нашлись папки new_final_final2, contracts_old, не трогать, точно не удалять и, конечно, “Новая папка”.

С искусственным интеллектом случилось то же самое.

Его подавали как помощника для умных людей. А первыми по-настоящему счастливыми пользователями стали те, кто просто не хотел писать письма самостоятельно.

#

В одной крупной компании — название мы, конечно, не скажем, потому что у нас книга не про скандалы, а про жизнь, что иногда даже хуже, — новый ИИ-помощник появился ранней весной. Появился он, как обычно, не по решению службы безопасности, не после архитектурного комитета и не в результате трёхмесячного пилота.

Он просто появился.

Сначала кто-то из маркетинга купил подписку на личную карту. Потом дизайнер сказал, что модель неплохо придумывает слоганы. Потом юрист попросил «просто немного вычитать договор». Потом продакт-менеджер загрузил туда расшифровку встречи, потому что сам слушать её второй раз был не готов. Потом финансовый директор попросил «сделать краткое резюме по отчёту, но только без лишней воды».

А потом один инженер загрузил туда кусок внутренней документации.

Не потому что был злодеем. Не потому что хотел слить коммерческую тайну конкурентам. И даже не потому что был идиотом, хотя этот вариант в службах безопасности обычно рассматривают первым.

Просто ему нужно было быстро разобраться, почему интеграция с новым API опять падает в самом неподходящем месте. Документация была написана человеком, который явно считал, что комментарии в коде — это слабость духа.

Внутренний чат молчал. Коллега из соседней команды был в отпуске. Начальник спрашивал, когда будет готово. А модель отвечала быстро, вежливо и без фразы «я сейчас на встрече».

Инженер вставил текст и написал:

Объясни простыми словами, что здесь происходит.

Модель объяснила.

Потом он вставил ещё кусок.

Модель снова объяснила.

Потом он загрузил конфиг, чтобы модель подсказала, где ошибка.

Модель подсказала.

Потом он загрузил логи.

И вот тут, дорогой читатель, где-то в недрах корпоративной безопасности должна была завыть сирена, покраснеть лампочка, хлопнуть дверь и прибежать человек с табличкой «Нельзя».

Но ничего не произошло.

Потому что никакой сирены ещё не было.

#

В старой кибербезопасности всё было хоть как-то понятно.

Есть файл. Он либо вредоносный, либо нет. Есть ссылка. Она либо ведёт на фишинг, либо нет. Есть IP-адрес. Он либо плохой, либо пока не попался. Есть письмо от «службы поддержки», в котором написано: «Срочно подтвердите свой аккаунт, иначе мы будем вынуждены отключить вам заработную плату». Тут даже без машинного обучения можно догадаться, что где-то рядом пасётся преступник.

Но что делать с промптом?

Промпт — это вроде бы просто текст. Человек спрашивает модель. Модель отвечает. Никаких исполняемых файлов. Никаких макросов. Никаких архивов с паролем 123. Никакого классического криминального запаха.

Пахнет максимум офисом.

Однако именно в этом офисном запахе пряталась новая проблема. В промпт можно положить что угодно: договор, переписку, список клиентов, финансовую модель, таблицу под названием зарплаты_финал, архитектурную схему продукта, который ещё не вышел на рынок.

В старом киберпанке зло выглядело эффектно: чёрные терминалы, зелёные буквы, хакеры в капюшонах, корпорации, неон, дождь и синтезаторная музыка.

В новом киберпанке всё гораздо смешнее.

Человек сидит в светлом офисе, пьёт капучино на овсяном молоке и пишет в нейросеть:

Сократи этот документ до трёх пунктов, только сохрани все важные детали.

Раньше для утечки нужно было хотя бы отправить файл наружу. Теперь достаточно было попросить модель «сделать красиво».

#

Служба безопасности той самой компании узнала о происходящем не сразу.
Сначала они заметили странный рост трафика к внешнему AI-сервису. Потом выяснили, что сервисом пользуются не три энтузиаста из маркетинга, а уже половина офиса. Потом подняли прокси-логи и увидели, что туда уходят объёмы текста, слишком большие для обычного вопроса «как вежливо послать подрядчика».

Началось расследование.

Расследования в корпоративной безопасности вообще редко похожи на кино.
Никто не сидит в тёмной комнате перед голографическим экраном. Никто не кричит: «Увеличь! Ещё! Отрази в зрачке!» Обычно всё выглядит гораздо скромнее: несколько усталых людей смотрят в логи, пьют кофе, строят запросы, спорят о временных зонах и пытаются понять, почему пользователь из отдела закупок в 02:17 ночи отправил наружу 11 мегабайт текста.

Пользователь, кстати, потом объяснил просто:
— Я дома работал. Хотел договор сократить.
— А зачем весь договор загружали?
— Ну чтобы модель понимала контекст.

Контекст она, конечно, поняла.

Вместе с ценами, условиями, штрафами, контактами, внутренними комментариями и пометкой юриста: «Этот пункт лучше не показывать клиенту до финального раунда».

Дальше нашли инженера с логами. Потом продакта с расшифровками встреч. Потом HR, который попросил модель сравнить кандидатов, загрузив туда резюме, внутренние оценки интервьюеров и комментарий «этот вроде норм, но странный». Потом ещё одного сотрудника, который вообще ничего не загружал, а просто спросил:

Как обойти корпоративный запрет на использование внешних AI-сервисов?

#

В любой нормальной компании после такого начинается собрание.
Собрание — это древний корпоративный ритуал, во время которого люди, уже знающие ответ, объясняют проблему людям, которые могли бы узнать ответ из письма, но всё равно хотят презентацию.

На встречу пришли безопасность, юристы, IT, комплаенс, HR, представитель бизнеса и человек из «цифровой трансформации», который выглядел так, будто происходящее одновременно подтверждает его правоту и портит ему квартальные KPI.

Безопасность сказала:

— Нужно всё запретить.

Бизнес сказал:

— Нельзя всё запретить.

Юристы сказали:

— Нужно понять, что именно уже ушло.

IT сказали:

— Мы можем заблокировать домены.

Цифровая трансформация сказала:

— Но тогда люди уйдут в мобильные приложения.

HR спросил:

— А можно просто провести обучение?

На этой фразе в комнате повисла особенная тишина. Такая тишина бывает, когда кто-то предлагает тушить пожар корпоративным вебинаром.

В итоге, как обычно, родилось компромиссное решение. То есть решение, которым недовольны все, но зато оно выглядит разумно в протоколе.

Внешние AI-сервисы решили ограничить. Для сотрудников — выпустить памятку. Для ключевых команд — поднять корпоративный доступ к проверенной модели. Для безопасности — внедрить средство контроля промптов. Для руководства — подготовить доклад о рисках.

Доклад назвали «Безопасное использование генеративного ИИ в бизнес-процессах».

Это был уже первый тревожный знак.

Когда в названии документа появляется слово «безопасное», значит, до этого оно было примерно как получилось.

#

Так на рынке появился новый герой — LLM-firewall.

Название, конечно, условное. Кто-то называет это AI Security Gateway. Кто-то — Prompt Security. Кто-то — Data Loss Prevention for GenAI. Кто-то придумывает ещё более длинное название, чтобы продукт казался дороже.

Идея простая: поставить между пользователем и моделью умного пограничника.

Пользователь отправляет запрос — пограничник смотрит, нет ли там персональных данных, секретов, ключей доступа, внутренней документации, токсичного контента, попытки jailbreak, просьбы написать вредоносный код или фразы «сделай так, чтобы никто не узнал».

Модель отвечает — пограничник снова смотрит, не выдала ли она чего лишнего. Например, инструкцию по обходу защиты, внутренние данные, чужой секрет или уверенную галлюцинацию, которая завтра попадёт в письмо клиенту.

На бумаге всё прекрасно.

В реальности — начинается обычная жизнь.

Слишком строгий фильтр мешает работать. Слишком мягкий — ничего не ловит. Пользователи жалуются, что модель стала «тупой». Безопасность жалуется, что пользователи стали «слишком умными» и обходят ограничения через личные телефоны. Бизнес жалуется, что конкуренты уже внедрили ИИ, а мы опять обсуждаем политику использования. Юристы жалуются всегда, это часть профессии.

Поставщик решения уверяет, что всё решается настройками.

Настройки оказываются отдельным искусством.

Нужно понять, какие данные действительно нельзя отправлять наружу. Какие можно, но только в обезличенном виде. Какие модели разрешены. Где хранятся логи. Кто имеет к ним доступ. Что делать с промптами, в которых сотрудник нечаянно написал пароль. Что считать инцидентом. Как не превратить службу безопасности в редакцию, которая вручную читает чужие вопросы нейросети.

Потому что промпты — это не только риск.

Это ещё и зеркало компании.

По ним видно, кто чем занимается, кто чего не понимает, кто пишет отчёты за пять минут до дедлайна, кто просит модель «сделай вид, что проект идёт по плану», а кто честно спрашивает: «как объяснить начальнику, что задача бессмысленная».

Так что новый инструмент безопасности быстро превращается не только в защиту, но и в источник неприятных знаний.

А неприятные знания в корпорациях любят меньше, чем утечки.

#

Здесь мы подходим к важному отличию ИИ от старых технологий.

Старые системы безопасности в основном контролировали действия: файл отправлен, ссылка открыта, процесс запущен, порт доступен, пароль введён.
ИИ заставляет контролировать намерения.

Пользователь может задать невинный вопрос, который на самом деле является попыткой обойти запрет. Или задать опасный вопрос без всякого злого умысла. Или попросить модель «улучшить скрипт», а в скрипте окажется инструмент для перебора паролей. Или загрузить внутренний документ не потому, что хочет его украсть, а потому что не умеет писать краткое содержание.

В старом мире безопасность часто отвечала на вопрос: что произошло?

В новом ей придётся всё чаще отвечать на вопрос: что человек пытался сделать?

А это уже скользкая дорожка.

Потому что между защитой компании и тотальным наблюдением за сотрудниками граница тоньше, чем хотелось бы написать в презентации для совета директоров.
Особенно когда речь идёт о текстах, вопросах, черновиках и мыслях, которые человек ещё не успел превратить в действие.

Компании, конечно, скажут: мы не читаем мысли, мы защищаем данные.
И будут отчасти правы.

Но сотрудники всё равно начнут писать промпты так, будто их читает начальник, безопасник, юрист и мама.

Качество работы модели от этого, надо сказать, не улучшится.

#

Через несколько месяцев после первого инцидента та самая компания внедрила корпоративный LLM-firewall.

Теперь сотрудники могли пользоваться моделью официально. Запросы фильтровались. Секреты маскировались. Персональные данные ловились. Опасные инструкции блокировались. На дашборде появились красивые графики: количество запросов, категории рисков, топ-пользователи, динамика внедрения.

Руководству понравилось.

Особенно графики.

На очередной встрече директор по цифровой трансформации радостно сообщил, что компания «перешла к управляемому использованию генеративного ИИ». Служба безопасности сказала, что риски «существенно снижены». Бизнес сказал, что продуктивность «потенциально выросла». Юристы сказали, что нужно обновить политику обработки данных. HR предложил провести обучение.

На этот раз никто уже не смеялся.

Потому что обучение действительно было нужно.

Сотрудникам объяснили простые вещи. Не загружать конфиденциальные документы без необходимости. Не вставлять ключи и пароли. Не отправлять персональные данные. Не доверять ответам модели без проверки. Не использовать личные аккаунты для рабочих задач. Не просить модель сделать то, за что потом будет стыдно на внутреннем расследовании.

Вопросов было много.

Самый честный задал один разработчик:

— А если я не знаю, можно ли отправлять конкретный кусок текста?

Безопасник ответил:

— Тогда не отправляйте.

Разработчик кивнул с видом человека, которому только что предложили лечить все болезни сном и тёплой водой.

И вот тут стало окончательно понятно: проблема не в конкретном сервисе, не в одном домене и не в отсутствии очередной коробки.

Проблема в том, что технология стала полезной быстрее, чем компания научилась с ней жить.

А когда технология действительно полезна, запрет работает плохо. Люди будут искать обходные пути не потому, что они плохие. А потому, что у них есть работа, дедлайны, начальники, клиенты и привычка использовать самый короткий путь между страданием и результатом.

Безопасность может сколько угодно рисовать красные линии.

Но если за красной линией лежит инструмент, который экономит человеку три часа жизни, кто-нибудь обязательно принесёт стремянку.

#

Но настоящий финал этой истории случился позже.

Через полгода в компании проводили внутренний аудит использования ИИ. И выяснилось странное: количество попыток отправить чувствительные данные через официальный шлюз снизилось. Это была хорошая новость.

Плохая новость состояла в том, что часть сотрудников действительно ушла в обходные каналы.

Кто-то пользовался личным телефоном. Кто-то пересылал фрагменты себе в мессенджер. Кто-то заменял названия клиентов на «Компания А» и «Компания Б», искренне полагая, что теперь документ стал обезличенным. Кто-то фотографировал экран, распознавал текст и скармливал его внешней модели.

Один особенно творческий сотрудник переводил куски документа на испанский, отправлял модели, а потом переводил ответ обратно.

Зачем на испанский — никто так и не понял.

Видимо, в его личной модели угроз испанский язык служил криптографическим протоколом.

А потом случилось то, что делает эту историю не смешной.

Конкурент выпустил обновление своего продукта. Архитектура нового модуля была устроена нестандартно — именно так, как компания планировала сделать свой. Не похоже. Не «вдохновлено». Именно так: те же зависимости между сервисами, тот же нетривиальный способ обработки очереди, который инженер придумал сам и которым гордился.

Продакт-менеджер смотрел на чужой релиз и чувствовал что-то неприятное, у чего не было хорошего названия.

Может, совпадение. Отрасль небольшая, умные люди думают похоже. Может, утечка через партнёра. Может, бывший сотрудник. Может, тот самый промпт с архитектурной схемой, который инженер отправил в модель восемь месяцев назад.

Доказать ничего нельзя.

Инженер, кстати, тоже ничего не помнил.

В тот день он отправил сорок семь промптов.

Это был тридцать второй.

ЧАСТЬ 1. БУДУЩЕЕ УЖЕ ПРИЕХАЛО, ПРОСТО ПЛОХО ПРИПАРКОВАЛОСЬ

2026-06-04T08:46:40.635Z

Глава 1. ЧЕЛОВЕК ИЗ БУДУЩЕГО

Книги про будущее принято начинать с какой-нибудь красивой глупости.
Например, с описания стеклянного небоскрёба, в котором искусственный интеллект управляет лифтами, кофемашинами, поливом фикусов и, возможно, советом директоров.

На самом деле будущее приходит гораздо прозаичнее.

Оно приходит в виде письма от бухгалтерии с темой «Срочно оплатить счёт». В виде странного домена, зарегистрированного за три часа до атаки. В виде ноутбука, на котором школьник запускает первую нейросеть, а сотрудник большой компании — первый корпоративный секрет, случайно скормленный этой нейросети. В виде презентации на тридцать семь слайдов, где слово «AI» встречается чаще, чем здравый смысл.

А иногда будущее приходит в виде старой журналистской шутки.

Лет двадцать назад один журналист написал про человека из антивирусной лаборатории текст под названием «Гостев из будущего». Тогда это было просто смешно. Вирусные аналитики вообще плохо подходили на роль людей из будущего. Они сидели в комнатах с плохой вентиляцией, ели пиццу у компьютеров, ругались на упаковщики, дизассемблеры и пользователей, которые открывают вложение с названием love_letter_for_you. Если это и было будущее, то какое-то очень душное.

Но журналист, как часто бывает с журналистами, случайно попал в точку.

Потому что антивирусная индустрия действительно много лет занималась странным делом: смотрела на мусор настоящего и пыталась понять по нему контуры завтрашнего дня. В нормальных профессиях люди изучают рынок, отчёты, поведение потребителей. В этой — изучают вредоносный код, чужие ошибки и человеческую глупость, которая, как известно, масштабируется лучше любого облака.

Если сегодня школьник пишет червяка ради пятнадцати минут славы, завтра преступник добавит туда кражу денег. Если сегодня вирусописатель прячет код в новом формате файла, завтра этим же трюком воспользуется разведка. Если сегодня кто-то придумал автоматизировать поиск уязвимостей, завтра другой человек обязательно автоматизирует их эксплуатацию.

Правильный вопрос здесь не «случится ли это?».

Правильный вопрос — когда именно.

#

В начале двухтысячных будущее пахло пылью, пластиком и перегретыми блоками питания.

Вирусные лаборатории тогда были похожи не на командные центры кибервойск, а скорее на нелегальные кружки радиолюбителей, которым по ошибке доверили спасение Интернета. На столах стояли пузатые мониторы, под столами — системники, вокруг — диски, дискеты, провода, чашки, бумажки с командами и люди, которые умели смотреть на набор байтов так, будто там написано письмо от старого знакомого.

Снаружи всё это выглядело почти скучно. Ну сидит человек, смотрит в экран. Иногда стучит по клавиатуре. Иногда говорит слово, которое нельзя печатать в деловой литературе. Иногда радостно сообщает:
— Вот же гад!
И все понимают: найдено что-то важное.

Работа аналитика состояла не в том, чтобы красиво рассуждать про цифровую трансформацию. Он брал неизвестную заразу, раскручивал её, смотрел, что она делает, как распространяется, что портит, куда стучится, какие файлы создаёт, какие ключи в реестре оставляет и почему автору этого произведения в детстве, видимо, недодали любви.

Потом нужно было сделать так, чтобы антивирус эту заразу ловил. Желательно — быстро. Ещё лучше — до того, как пользователь успеет открыть вложение. И совсем хорошо — до того, как журналисты начнут звонить с вопросом: «А правда ли, что русские хакеры опять положили Интернет?»

В те годы кибербезопасность ещё не стала глянцевым рынком. Не было красивых слов вроде EDR, XDR, MDR, CNAPP и прочего алфавитного супа, который сейчас продаётся на конференциях под музыку, кофе и обещание «единого окна». Были вирусы. Были люди, которые их писали. Были люди, которые их ловили. И была бесконечная гонка, напоминавшая мультфильм про койота и дорожного бегуна, только с периодическим ущербом на миллиарды долларов.

Потом всё усложнилось.

Сначала вирусы стали красть деньги. Потом — данные. Потом — промышленные секреты. Потом выяснилось, что государствам тоже нравится играть в эту игру, только у них бюджеты побольше и чувство юмора похуже.

А затем на сцену вышел искусственный интеллект.

#

Если бы искусственный интеллект появился в начале двухтысячных, вирусные аналитики, конечно, обрадовались бы.

Ему сразу поручили бы разбирать почту пользователей.

— Вот тебе, дорогой робот, пять тысяч писем. В половине мусор, в другой половине вирьё, в третьей половине пользователи сами не знают, что прислали. Разберёшься — молодец. Не разберёшься — мы тебя переименуем в помощника менеджера.

Но ИИ появился позже, когда индустрия уже успела обрасти бюджетами, регуляторами, презентациями, квадрантами Gartner и людьми, которые всерьёз говорят «мы закрываем боль заказчика» без видимых признаков физического страдания.

И вот тут началось интересное.

Первые восторги вокруг нейросетей очень напоминали ранние годы Интернета. Тогда тоже казалось, что теперь всё изменится: информация станет свободной, люди умными, границы прозрачными, а котики — вечными. Частично так и вышло, особенно с котиками. Но вместе со свободной информацией появились фишинг, ботнеты, даркнет, криптовалютные пирамиды и родственники, которые пересылают в семейный чат ролики с заголовком «ВРАЧИ СКРЫВАЛИ ЭТО 40 ЛЕТ».

С искусственным интеллектом происходит примерно то же самое, только быстрее.

Сначала все радовались, что модель пишет стихи, код и письма начальнику. Потом выяснилось, что она также отлично пишет фишинговые письма, объясняет уязвимости, помогает собирать разведданные и уверенно врёт там, где нормальный человек хотя бы покраснел бы.

Это не значит, что ИИ сам стал хакером.

ИИ вообще ничего не «стал». Он не проснулся, не посмотрел на человечество и не решил: «Пожалуй, начну с бухгалтерии». У него нет воли, обиды на офисный стол и желания купить квартиру в Дубае. Зато у людей всё это есть. А люди очень быстро понимают, как использовать новый инструмент.

Молотком можно построить дом. Можно разбить витрину. Можно торжественно вручить его на корпоративе лучшему сотруднику квартала. Вопрос не в молотке.

Вопрос в руках.

#

На рынке безопасности к этому моменту уже накопилась усталость от старых войн.

Каждая новая технология сначала продавалась как спасение. Потом выяснялось, что она закрывает только часть проблемы. Потом вокруг неё появлялся рынок дополнительных продуктов, которые закрывали проблемы, созданные первым продуктом. Потом приходили консультанты и объясняли, что без стратегии зрелости вы неправильно закрываете неправильно поставленную проблему.

Так родилась современная кибербезопасность.

Но ИИ внёс в эту привычную схему важное изменение: скорость.

Раньше атакующий должен был делать много работы руками. Искать цель, собирать информацию, писать письма, подбирать инфраструктуру, тестировать код, обходить защиту, читать документацию, материться, снова читать документацию. Романтика ремесла, почти как у краснодеревщика, только вместо дерева — чужой периметр.

Теперь значительная часть этой рутины автоматизируется.

Модель может помочь написать убедительный текст под конкретную жертву. Может быстро разобраться в незнакомом API. Может подсказать, где в коде пахнет уязвимостью. Может сгенерировать варианты обхода фильтра. Может перевести фишинг на хороший английский, немецкий или японский — без тех прекрасных грамматических ошибок, по которым раньше пользователь иногда понимал, что наследство нигерийского принца лучше оставить нигерийскому принцу.

И это только первая волна.

Настоящая проблема начнётся, когда ИИ перестанет быть помощником человека и станет частью автоматического конвейера атаки. Не злым электронным мозгом из кино, а скучным промышленным инструментом. Таким же, как CRM, только для взлома.

Он сам выберет цель. Сам соберёт данные. Сам найдёт слабые места. Сам подготовит письма. Сам проверит реакцию. Сам изменит тактику. Сам попробует ещё раз. И ещё раз. И ещё раз.

Человек останется наверху — как оператор, инвестор или заказчик. Но скорость работы системы станет уже нечеловеческой.

А оборона, если хочет выжить, должна будет стать такой же.

#

Здесь, конечно, возникает любимый вопрос начальства:

— А можно просто купить коробку, чтобы всё это закрыть?

Можно.

Коробку вам продадут обязательно.

На ней будет написано AI Security Platform, Autonomous Defense, Cognitive SOC или ещё что-нибудь бодрое, с градиентом на обложке. Внутри будет дашборд, интеграции, агент, документация на английском и менеджер, который объяснит, что продукт использует «уникальные поведенческие модели». На вопрос, какие именно, он посмотрит так, будто вы просите раскрыть рецепт кока-колы.

Проблема в том, что коробка сама по себе ничего не спасает.

Кибербезопасность вообще плохо работает как амулет. Нельзя купить дорогую систему, поставить её в стойку и считать, что злые духи теперь обойдут компанию стороной. Хотя иногда складывается ощущение, что именно так и устроены некоторые бюджеты.

Впрочем, есть один нюанс.

Кибербезопасность отличается от многих других рынков тем, что здесь даже плохой продукт может продаваться долго, если страх достаточно сильный. А страх будет сильный. Потому что руководители уже начинают понимать: ИИ — это не просто новый инструмент сотрудников. Это новый канал утечек, новая поверхность атаки и новый способ ускорить старые преступления.

Раньше компания боялась, что сотрудник отправит файл не туда.

Теперь она боится, что сотрудник отправит файл модели, модель сохранит его в логах, другой сотрудник достанет кусок через странный запрос, а потом всё это всплывёт в расследовании с заголовком «Искусственный интеллект слил стратегию компании».

Заголовок, конечно, будет врать.

Слил не интеллект. Слил человек. Интеллект просто оказался удобной трубой, в которую этот человек вылил ведро корпоративных секретов.

Но обществу нужна простая картинка. Поэтому виноват будет ИИ.

Как раньше были виноваты «русские хакеры», «китайские хакеры», «анонимусы», «вирусы» и «компьютер сам нажал».

Компьютеры вообще много чего нажимают сами, если верить объяснениям пользователей.

Хорошая защита будущего — это не одна чудо-система. Это скорость реакции, качество данных, нормальная архитектура, дисциплина обновлений, сегментация, контроль доступа, обучение людей и способность признавать, что у вас всё не так хорошо, как написано в годовом отчёте.

Последнее особенно важно.

Потому что ИИ только усилит разрыв между теми, кто понимает процессы, и теми, кто покупает названия. Главная уязвимость любой организации — не сервер, не ноутбук и даже не бухгалтер, открывший вложение. Главная уязвимость — управленческая иллюзия, что всё под контролем.

Она не детектируется антивирусом.

#

Будущее редко выглядит футуристично, когда наступает. Человек из будущего чаще всего сидит не в серебристом комбинезоне, а перед ноутбуком, заваленным вкладками, отчётами, графиками и чужими ошибками.

Оно не приходит с фанфарами.
Оно приходит как очередной инцидент.
И кто-то должен его разобрать.

ИИсторИИ

2026-06-03T20:22:49.582Z

Вместо предисловия

Возможно, вы слышали про книгу под названием «Вирьё моё». Это производственный роман про невидимые хакерские войны последних двадцати лет — про то как 376 байт по имени Helkern положили Южную Корею на пять часов, как Stuxnet вырубал заводы по обогащению урана, как банды вирусописателей превращались в индустрию или садились в тюрьму, что иногда было одно и то же.

Книга получилась про прошлое, и заканчивалась она на относительно спокойной ноте. Интернет работал. Глобальной эпидемии, которую мы ожидали по своей семилетней синусоиде, не случилось. ИИ только начинал подавать голос — больше в академических статьях, чем в корпоративных чатах.

Это длилось недолго.

Пока вы читали ту книгу, всё, о чём мы писали как о «завтра», стало «вчера». ИИ-пентесты, про которые мы говорили как о несуществующей индустрии, теперь существуют. Ошустренные вещи продолжают косячить — только теперь они косячат умнее и дороже. Граница между атакующими и защищающимися стала такой тонкой, что иногда не понять, кто есть кто, особенно если обе стороны пользуются одной моделью.

В «Вирьё моём» у меня был соавтор, который умел задавать правильные вопросы и объяснять сложное простыми словами. Здесь тоже есть соавтор. Только теперь это не человек.

Это тот самый ИИ, про которого написана вся книга.

Он помогал формулировать, уточнять, проверять логику и находить слова там, где у меня заканчивалось терпение. Я не уверен, что он понимал, о чём пишет. Зато я уверен, что именно это делает его идеальным соавтором для книги про ИИ: он не паникует, не устаёт и не требует повышения зарплаты. Просто иногда уверенно ошибается.

Та книга была документальной прозой — всё, что было, как было, с лёгкой гримировкой имён. Эта устроена иначе.
Истории здесь не настоящие. Точнее — пока не настоящие. Компании выдуманы, имена вымышлены, инциденты сконструированы. Но сконструированы из деталей, которые уже существуют: реальных уязвимостей, реальных решений, реальных ошибок, которые индустрия уже совершает или вот-вот совершит. Это не репортаж с передовой. Это разведка боем — туда, куда передовая движется.

Про Helkern говорили: это меняет всё. Потом Stuxnet — снова меняет всё. Теперь ИИ. И снова — это меняет всё.
Меняет. Только не всё, и не сразу, и не так, как думают на конференциях.

Эта книга — про то, как именно. Про компании, которые скармливают корпоративные секреты нейросетям, не понимая что делают. Про антивирусы, которым дали право стрелять, и которые иногда попадают в своих. Про датасеты, пришедшие с чужой войны и принёсшие с собой чужую грязь. Про ботов, возвращающих деньги слишком охотно. Про роботов, которых страшно уволить, потому что никто не знает, что они делают.

Безопасность в эпоху ИИ — это не новая коробка с красивым градиентом на крышке. Это та же старая работа с логами, людьми и ошибками. Только теперь ошибки масштабируются с нечеловеческой скоростью.

Читатель, скорее всего, уже в теме. Вы либо безопасник, либо разработчик, либо руководитель, которому надоело получать красивые презентации про AI-революцию без единого конкретного ответа на вопрос «а что мне с этим делать».

Если какая-то история покажется вам знакомой, это не совпадение.

Дятлы продолжают долбить.

Просто теперь рядом с ними сидит машина, которая долбит быстрее.

И иногда — не в то дерево.

Как Cylance проиграла войну AI-антивирусов

2026-05-23T20:00:18.316Z

Дэвид Сэхён Бэк · 17 мая 2026

https://www.linkedin.com/pulse/how-cylance-lost-ai-antivirus-war-david-sehyeon-baek-eg8df/

Оговорка автора. Эта статья не имеет целью пристыдить, атаковать или очернить какую-либо компанию, основателя, руководителя, сотрудника, инвестора, клиента, партнёра или конкретного человека. Она написана как бизнес-кейс для основателей, руководителей, инвесторов, операционных директоров и тех, кто принимает решения в условиях рыночного давления, ограничений финансирования, стратегической неопределённости, продуктовых трудностей, смены руководства или организационных перемен. Цель — разобрать публично доступную информацию, бизнес-решения, рыночную динамику и стратегические итоги, чтобы извлечь практические уроки. Любая критика направлена на решения, стратегии, исполнение и рыночное позиционирование, а не на людей лично.

Вступление

Можно сказать, что Cylance изобрела современную категорию защиты конечных точек на машинном обучении — а затем сдала её. Компанию основали в 2012 году два ветерана McAfee, веривших, что математика способна заменить сигнатуры (привычные «отпечатки» вирусов). К январю 2019 года Cylance вышла примерно на $171 млн выручки за последние двенадцать месяцев, в том же месяце продалась BlackBerry за $1,4 млрд, а через шесть лет её остатки ушли к Arctic Wolf всего за $160 млн наличными плюс небольшой пакет акций частной компании.

За тот же период CrowdStrike вырос с $250 млн годовой выручки до почти $4 млрд, а SentinelOne — из стартапа без выручки стоимостью $46 млн в публичную компанию с годовой повторяющейся выручкой (ARR) свыше $920 млн. Вердикт рынка однозначен: Cylance первой пришла к идее AI-антивируса и последней — к современной платформе защиты конечных точек.

Именно этот разрыв между технической первичностью и устойчивой рыночной позицией и разбирает статья. Узкий урок — про безопасность конечных точек. Более широкий, для любого руководителя, продающего программную платформу, — про то, что происходит, когда компания принимает «клин» (узкую начальную фичу) за «ров» (защитное преимущество), продаётся слишком рано не тому покупателю и позволяет вызывающей маркетинговой позиции превратиться в репутационный долг, который уже не выплатить. Основатели Cylance решили реальную проблему. Их преемники построили вокруг неё лучшие бизнесы.

Выпускники Foundstone, которые попытались отправить сигнатуры на пенсию

Cylance зарегистрировали в Ирвайне (Калифорния) в 2012 году Стюарт Макклур и Райан Перме — оба старшие технические руководители, уходившие из McAfee. Послужной список Макклура был внушительным. Он соосновал Foundstone, компанию по управлению уязвимостями, которую McAfee купила в октябре 2004 года за $86 млн, остался внутри McAfee вплоть до поглощения Intel в 2010 году и в итоге занимал пост исполнительного вице-президента, всемирного технического директора и генерального менеджера, отвечая почти за $3 млрд потребительского и корпоративного бизнеса безопасности. Он также был ведущим автором «Hacking Exposed» — практического учебника по наступательной безопасности, впервые вышедшего в 1999 году. Серия выдержала семь изданий и разошлась тиражом около миллиона экземпляров — необычный задел для будущего основателя.

Эта деталь важна, потому что Джордж Курц — соавтор Макклура по «Hacking Exposed» и тоже выпускник Foundstone — ушёл из McAfee в ноябре 2011 года, чтобы основать CrowdStrike вместе с Дмитрием Альперовичем и Греггом Марстоном. Два технических директора McAfee — Курц и сменивший его на посту глобального CTO Макклур — построят две компании, определившие следующее поколение защиты конечных точек. Они стартовали с разницей в несколько месяцев, привлекали деньги из пересекающихся инвесторских сетей и фундаментально разошлись в одном вопросе: где живёт «интеллект» защиты — на устройстве или в облаке?

Райан Перме, второй основатель, был менее публично известен, но, возможно, важнее для технической идеи. До Cylance он был главным научным сотрудником (Chief Scientist) McAfee и заслуженным инженером в eEye Digital Security. Он был основным аналитиком червя Code Red в 2001 году и держал пять патентов в области безопасности к моменту основания Cylance. По всем последующим публикациям, именно Перме был архитектором математической модели, которая стала продуктом CylancePROTECT.

Идея, которую двое мужчин продавали инвесторам в конце 2012 — начале 2013 года, была проста. Сигнатурная модель антивируса, на которой McAfee, Symantec, Trend Micro и Sophos построили миллиардные бизнесы, структурно сломана. Сигнатуры реактивны. У атакующего всегда преимущество первого хода: к тому моменту, когда сигнатура доходит до устройства клиента, злоумышленник уже взломал кого-то другого и двинулся дальше. Макклур позже описывал свои годы в McAfee как бесконечные перелёты в пострадавшие компании с извинениями — он в шутку называл себя «директором по извинениям». Cylance предлагала альтернативу под названием «presponse» — предиктивную позицию ещё до запуска файла, сочетающую интуицию атакующего с алгоритмическими моделями. Это, по замыслу, был бы первый антивирус, которому не нужно было заранее видеть конкретный вирус.

Khosla Ventures и Fairhaven Capital вместе возглавили раунд A на $15 млн в феврале 2013 года. Blackstone возглавил раунд B на $20 млн в феврале 2014-го. DFJ Growth возглавил раунд C на $42 млн в июле 2015-го, доведя общий объём привлечённого до $77 млн. В сентябре 2015 года In-Q-Tel — инвестиционный механизм, связанный с ЦРУ, — занял стратегическую позицию, что стало важным сигналом доверия со стороны федеральных и разведывательных покупателей. Раунды D ($100 млн, июнь 2016) и E ($120 млн, июнь 2018) довели объём привлечённого акционерного капитала до $297 млн.

Рост выручки был реальным. На раунде E в июне 2018 года Cylance раскрыла, что выручка за 2018 финансовый год превысила $130 млн и выросла более чем на 90% год к году, а клиентов было свыше 4000, включая более 20% компаний из списка Fortune 500. По данным, поданным BlackBerry в Комиссию по ценным бумагам (SEC), выручка Cylance за двенадцать месяцев до 31 января 2019 года составила $171 млн. Штат на пике достигал примерно 900 человек. Среди клиентов называли Toyota, Gap, Panasonic, WWE и Dell — последняя встроила технологию Cylance в свой пакет корпоративной защиты в ноябре 2015 года, вытеснив McAfee с бизнес-компьютеров Dell.

По всем видимым метрикам 2018 года Cylance выглядела как следующий CrowdStrike. Защитники компании в венчурном сообществе не ошибались насчёт траектории. Они ошибались в том, как эта траектория превратится в устойчивую, защищённую рыночную позицию, когда сама категория продукта изменится у них под ногами.

Что Cylance построила — и что намеренно строить не стала

CylancePROTECT, запущенный 18 февраля 2014 года, был воплощением математической работы Перме. Архитектуру, описанную в фирменном документе «Math vs. Malware», можно свести к четырём шагам. Во-первых, компания собрала десятки миллионов файлов — исполняемых файлов, библиотек, PDF, документов Office, Java-архивов — как заведомо вредоносных, так и заведомо безопасных. Во-вторых, разбирала каждый файл и извлекала так называемые «атомарные характеристики», доводя их до более чем семи миллионов признаков на файл: измерения энтропии, разрешения секций, встроенные строки, импортируемые API, сигнатуры компилятора и размеры секций. В-третьих, статистические классификаторы обучались в лаборатории Cylance на этом массиве, чтобы получить модель, оценивающую новые файлы по непрерывной шкале риска. В-четвёртых, обученная модель сжималась примерно до 40-мегабайтного файла и отправлялась на устройство, где оценивала файлы математически ещё до их запуска.

Самым важным был четвёртый шаг. CylancePROTECT работал на устройстве без обращения в облако. Файлы оценивались локально. Агенту не нужно было интернет-соединение, чтобы вынести вердикт. Не было ежедневных обновлений сигнатур из дата-центра вендора. По собственным маркетинговым материалам Cylance, агент устанавливался и достигал полной защиты за секунды. Это делало продукт по-настоящему полезным там, где облачное подключение невозможно или нежелательно: в изолированных промышленных сетях, засекреченных государственных средах, на заводских линиях, в розничных терминалах, на судах и нефтепромыслах.

Это был технический холм, на котором Cylance решила стоять насмерть. В 2014–2015 годах это было ранним преимуществом. К 2018-му оно стало стратегическим потолком.

CylanceOPTICS — продукт компании для обнаружения угроз и реагирования (EDR) — стал общедоступен лишь в конце мая 2017 года. Он работал на том же агенте, что и PROTECT, шифровал данные локально на каждом устройстве, а не передавал их в облако вендора, и поставлялся со 117 готовыми правилами обнаружения. Тогдашний директор по продукту Рахул Кашьяп подавал локальное хранение как преимущество в приватности и экономии трафика. На практике это лишило Cylance глобального графа телеметрии, который CrowdStrike уже монетизировал, — способности увидеть новую угрозу у одного клиента в Сингапуре и за миллисекунды защитить всех остальных.

Сравните с архитектурой Falcon от CrowdStrike, общедоступной с 2013 года и, согласно проспекту IPO компании, облачной с первого дня. Сенсор Falcon был намеренно лёгким на устройстве. Он непрерывно передавал телеметрию в многопользовательскую графовую базу данных под названием Threat Graph, которая коррелировала триллионы событий в день по всей клиентской базе. Логика обнаружения, индикаторы атак, разведданные и управляемая охота на угрозы — всё это жило в облаке. Это означало, что CrowdStrike мог разослать новое правило обнаружения всему глобальному парку устройств за минуты, а не за дни или недели, которые Cylance требовались на переобучение и переотправку модели. У компании Курца был сетевой эффект в буквальном экономическом смысле: каждый новый клиент существенно улучшал защиту всех остальных.

SentinelOne, основанная в январе 2013 года Томером Вайнгартеном, Альмогом Коэном и Эхудом Шамиром, сделала третью архитектурную ставку. Компания построила единый автономный агент, который мог выполнять и предзапускной статический AI-скоринг, и поведенческий анализ во время выполнения прямо на устройстве, с облачным управлением и облачным «озером данных» поверх. Технология Storyline присваивала каждому связанному кластеру процессов уникальный идентификатор и выстраивала «сюжет атаки» в памяти прямо на устройстве, избавляя аналитиков от ручной корреляции. SentinelOne также предлагала откат шифрования вымогателей в один клик. В итоге продукт мог работать офлайн, как Cylance, поведенчески, как CrowdStrike, и автономно устранять ущерб так, как поначалу не умел ни один из конкурентов.

Три архитектуры, три разные ставки. Cylance поставила на то, что точность предзапускной модели — это устойчивая ось конкуренции. CrowdStrike — на облачную телеметрию и глобальную корреляцию. SentinelOne — на автономный поведенческий ИИ на устройстве с откатом. За последующее десятилетие рынок щедрее всего наградил ставку CrowdStrike, на втором месте — SentinelOne, а ставку Cylance фактически наказал. Причина не тонкая: точность предзапускной модели — это фича. Облачная телеметрия, модульное расширение платформы и автономное реагирование — это продукты, вырастающие в платформы. Cylance построила фичу и назвала её категорией.

Можно возразить, что эта оценка слишком сурова. В 2014–2015 годах показатели Cylance по обнаружению ранее невиданных вирусов реально ставили в неловкое положение сигнатурных игроков. Заказанный компанией отчёт SE Labs «Predictive Advantage» (апрель 2018) утверждал, что модель CylancePROTECT от мая 2015 года всё ещё обнаруживала вирусы, выпущенные на 33 месяца позже — отсюда маркетинговое заявление «за годы до того, как он появился». Часть методики была удобной для самой компании (модель в тесте предоставляла сама Cylance), но базовая производительность была достаточно реальной, чтобы Symantec почувствовал угрозу и заказал собственные контртесты. На своей узкой оси технология Cylance работала.

А суровость оценки в том, что эта узкая ось была неправильной для оптимизации. По мере того как поведенческие атаки, бесфайловые методы, «жизнь за счёт легитимных бинарников Windows» (living-off-the-land) и атаки на учётные данные становились доминирующей тактикой к 2018–2019 годам, предзапускной анализ файлов всё меньше помогал по сравнению с поведенческим мониторингом во время выполнения и облачной корреляцией. Главный архитектурный выбор Cylance оптимизировал под модель угроз, которая уже устаревала, когда компания выпустила свой первый продукт. Конкуренты прочитали те же данные и сделали лучшие ставки.

Лозунг «Математика, а не вирусы» и репутационный долг, который он создал

Около трёх лет, с 2014 по 2017 год, Cylance вела одну из самых агрессивных маркетинговых операций в корпоративной безопасности. У кампании был слоган «Math vs. Malware» («Математика против вирусов») и гастрольное шоу под названием «Unbelievable Tour», прошедшее по более чем 20 городам в 2015 году. Cylance устраивала живые «дуэли» с вирусами прямо в переговорных клиентов: скачивала образцы с VirusTotal в реальном времени и стравливала CylancePROTECT с установками Symantec, McAfee, Trend Micro и Sophos на параллельных ноутбуках. Компания раскрывала результаты: 99% блокировки на ~2200 образцах против примерно 50% у Symantec и McAfee и 33% у Trend Micro. Это был театр — но крайне эффективный для увода разговора от излюбленных тестов отраслевой прессы в сторону контролируемой среды самой Cylance.

Тогдашний директор по маркетингу Грег Фицджеральд говорил в марте 2016 года, что демонстрации были самым продуктивным механизмом привлечения клиентов. В сочетании со сделкой OEM с Dell (ноябрь 2015) история выхода на рынок у Cylance была, ненадолго, самой захватывающей в безопасности конечных точек. Клиентам нравилась и ценовая политика — Cylance агрессивно демпинговала под устаревшими антивирусами в пересчёте на рабочее место.

Но репутационный долг начал накапливаться примерно тогда же. В ноябре 2016 года инженер, тестировавший Cylance, обнаружил, что семь из сорока восьми «вирусных» образцов, которые Cylance предоставляла потенциальным клиентам для тестов, на деле не были работающими вирусами. Издание Ars Technica опубликовало в апреле 2017 года статью «Загадка вируса, которого не было». Вице-президент Cylance Чад Скиппер признал, что компания упаковывала реальные вирусы упаковщиками MPRESS и VMProtect, что иногда ломало их работоспособность, но, по его словам, сохраняло «признаки» вредоносного поведения. Критики, включая Майка Вискузо из Carbon Black, обвинили Cylance в подтасовке так, чтобы только CylancePROTECT мог обнаружить образцы, на которых его модель и обучалась. Независимое тестирование MRG Effitas (тоже апрель 2017) показало, что CylancePROTECT уникально чувствителен к файлам, упакованным VMProtect, — что фактически гарантировало победу Cylance в любом тесте на упакованных образцах.

Одновременно Cylance атаковала и сами тестовые лаборатории. В конце 2016 — начале 2017 года, после неблагоприятного теста, Cylance опубликовала серию постов, обвиняя лаборатории в «мошенничестве, предвзятости, пиратстве и вымогательстве». Лаборатории ответили документами, подтверждающими законную покупку CylancePROTECT, и показали, что Cylance отозвала их лицензию 7 января 2017 года — стандартный сценарий вендора, недовольного тем, как его тестируют. Тест MRG-Effitas (июнь 2017), проведённый сразу после WannaCry, показал, что CylancePROTECT не обнаружил бэкдор DoublePulsar и лежащий в основе эксплойт SMB, блокируя лишь итоговую полезную нагрузку. SentinelOne тест прошёл.

Затем настал июль 2019 года. Исследователи Skylight Cyber Ади Ашкенази и Шахар Зини из Сиднея опубликовали работу под названием «Cylance, I Kill You!». Методика была изящной и разрушительной. Исследователи провели реверс-инжиниринг модели CylancePROTECT, которая выдавала вердикты по шкале от –1000 до +1000, и обнаружили, что модель необычно чувствительна к строкам из небольшого набора «белых» исполняемых файлов. Добавив примерно 60 килобайт строк, извлечённых из конкретной онлайн-видеоигры (позже на конференции BSides Sydney выяснилось, что это Rocket League), они смещали оценку Mimikatz с –852 (явно вредоносный) до +999 (явно безопасный). Обход сработал на 100% списка топ-10 вирусов CIS за май 2019 года и примерно на 90% более широкого набора из 384 образцов, включая WannaCry, SamSam, Mimikatz и Meterpreter.

Skylight не уведомила Cylance заранее, сославшись на 45-дневную политику раскрытия австралийского CERT и аргументируя тем, что универсальные «состязательные» обходы ML-моделей не являются уязвимостью в традиционном смысле. Ответ Cylance, опубликованный 21 июля 2019 года тогдашним главным научным сотрудником Райаном Перме, охарактеризовал проблему не как «универсальный обход», а как «манипуляцию определённым типом признака в ограниченных обстоятельствах», и описал три меры исправления. Но ущерб уже был нанесён. Редактор Virus Bulletin Мартин Гроотен поймал суть момента фразой, ставшей определяющей: преступление Cylance не в том, что они плохо запрограммировали ИИ, а в том, что назвали ИИ то, что они сделали.

Эта фраза — самая чистая формулировка стратегической проблемы Cylance. Компания пять лет позиционировала себя как качественный скачок вперёд в безопасности, с заявлениями, обходившими обычные оговорки в адрес систем машинного обучения. Когда исследователи показали, что модель можно победить трюками с подстановкой строк, которые предсказал бы любой работающий специалист по данным, лозунг «доверьтесь математике» стал неоправдан. Вендор, культивировавший почти религиозную позицию о собственном техническом превосходстве, обнаружил цену превращения скептиков во врагов.

Стоит уточнить, что этот эпизод доказал, а что — нет. Он не доказал, что машинное обучение бесполезно для обнаружения вирусов: все современные вендоры, включая CrowdStrike, SentinelOne и Microsoft, активно используют ML. Он доказал, что ML-модель, развёрнутая без разнообразия телеметрии, без защиты от состязательных входных данных и без непрерывного переобучения против активного противника, хрупка так, как классическое обнаружение — нет. Он также доказал, что клиенты, которым годами говорили, что «математика» безупречна, теперь должны были спрашивать у отделов закупок, не продали ли им историю вместо продукта. К июлю 2019 года Cylance уже была внутри BlackBerry. Восстановление репутации стало чужой проблемой — а у этого «кого-то» не было ни аппетита, ни команды, чтобы этим заняться.

Как модульная платформа CrowdStrike росла как снежный ком, пока продукт Cylance буксовал

Под маркетинговыми скандалами скрывалась более фундаментальная проблема: дорожная карта продукта Cylance недостаточно быстро расширялась от защиты конечных точек к многопродуктовой платформе. CrowdStrike — самый чистый контрпример. К моменту общедоступности CylancePROTECT в начале 2014 года у CrowdStrike уже был EDR-продукт Falcon Insight, а сервис управляемой охоты на угрозы Falcon OverWatch вышел на рынок примерно через год. Проспект IPO CrowdStrike (май 2019) раскрывал десять отдельных модулей Falcon. Клиенты могли купить любую комбинацию. Каждый модуль работал на том же агенте и том же Threat Graph, а значит предельные издержки CrowdStrike на запуск нового модуля для нового типа покупателя были крайне низкими.

Затем поглощения добавляли новые модули поверх той же одноагентной основы. Preempt Security (сентябрь 2020, ~$96 млн) стал Falcon Identity Threat Protection, открыв покупателя в сфере идентичности. Humio (март 2021, ~$400 млн) стал Falcon LogScale и затем Falcon Next-Gen SIEM, открыв покупателя в сфере операций безопасности. Adaptive Shield (ноябрь 2024, ~$300 млн) стал Falcon Shield для защиты SaaS. Каждое поглощение было модулем, добавленным к той же архитектуре.

Финансовый результат этого модульного компаундирования был виден в выручке CrowdStrike, выросшей с $249,8 млн в 2019 финансовом году до $3,95 млрд в 2025-м. ARR достигла $4,24 млрд на 31 января 2025 года. Отчёт IDC о доле рынка за двенадцать месяцев до июня 2022 года поставил CrowdStrike на первое место с 17,7%, тогда как Cylance в том же отчёте — на пятнадцатое с 1,3%.

Cylance не создала сопоставимой платформы. CylanceOPTICS был единственным значимым расширением продукта за годы «Cylance как Cylance», и даже он отставал от Falcon Insight примерно на два года. Не было управляемого сервиса охоты масштаба OverWatch. Не было ни продукта по идентичности, ни SIEM, ни значимой защиты облачных нагрузок. Деньги на R&D уходили на поддержку CylancePROTECT, на переобучение модели в ответ на скандалы вроде Skylight и на интеграцию с BlackBerry после февраля 2019 года. Продуктовый долг накапливался быстрее, чем инженерная команда успевала его обслуживать.

SentinelOne повторяла сценарий CrowdStrike с задержкой, но с убедительным исполнением: Scalyr (февраль 2021, ~$155 млн) дал основу облачного «озера данных» для XDR; Attivo Networks (март 2022, $616,5 млн) открыл сферу обнаружения угроз идентичности; PingSafe (январь 2024) — облачную защиту приложений. К 2025 финансовому году SentinelOne отчиталась о выручке $821,5 млн (рост 32% год к году) и ARR свыше $920 млн. Компанию четыре года подряд называли лидером в «Магическом квадранте» Gartner, тогда как Cylance под BlackBerry была понижена до «нишевого игрока».

Закономерность у обоих победителей одна. Конечная точка была клином. Платформа была бизнесом. Cylance, относясь к конечной точке как к бизнесу, а не к клину, обрекла себя на конкуренцию в категории, которая коммодитизировалась — Microsoft Defender, поведенческими игроками, добавляющими ML, и новыми участниками — ровно тогда, когда самые нужные ей покупатели перераспределяли бюджеты в пользу консолидированных платформ.

Почему сделка с BlackBerry состоялась — и почему не должна была

К середине 2018 года команде Cylance предстояло стратегическое решение. Рост выручки был сильным, но замедлялся. Компания готовилась к IPO. CrowdStrike явно готовил собственное IPO, ожидавшееся в первой половине 2019 года. SentinelOne только что привлекла $120 млн при оценке $1,1 млрд в ноябре 2018-го.

Затем позвонил BlackBerry. Канадская компания под руководством гендиректора Джона Чена пять лет перестраивалась из провалившегося производителя смартфонов в поставщика корпоративного ПО и встраиваемых систем, опираясь на продукт управления конечными точками и автомобильную операционную систему QNX, которая, по словам Чена, работала более чем в 120 млн автомобилей. Чену нужен был центр кибербезопасности для платформы BlackBerry Spark. 16 ноября 2018 года он объявил, что BlackBerry купит Cylance за $1,4 млрд наличными — крупнейшее приобретение в истории BlackBerry. Сделка закрылась 21 февраля 2019 года. Из суммы покупки $899 млн стали гудвиллом на балансе BlackBerry.

Кое-что в этой сделке было оправданным в ноябре 2018 года — и почти всё перестало быть таковым в течение двенадцати месяцев. Цена — $1,4 млрд против ~$171 млн выручки за последние двенадцать месяцев — была примерно 8x выручки: недёшево, но не абсурдно по меркам кибербезопасности 2018 года. Стратегическая логика соединения эндпойнт-ИИ со встраиваемыми автомобильными системами и IoT на бумаге не была бессмысленной. Инвесторы Cylance, особенно Blackstone, получили чистый и определённый множитель вместо переменного исхода IPO. Команда получила ликвидность.

Что экономически убило сделку, было видно всем, кто следил за IPO CrowdStrike в июне 2019 года. CrowdStrike разместился по $34 за акцию 11 июня, открылся на $63,50 12 июня и закрыл первый день на $58, оценив компанию примерно в $11,4 млрд против выручки 2019 финансового года в $249,8 млн — множитель к выручке примерно впятеро выше того, что Cylance получила от BlackBerry четырьмя месяцами ранее. Публичный рынок переоценил облачную безопасность конечных точек ровно в тот квартал, когда Cylance поглощалась BlackBerry.

Стратегическая проблема была хуже цены. BlackBerry не был естественным покупателем для эндпойнт-бизнеса, которому нужно было быстро строить облачную платформу. Культура BlackBerry под Ченом была «управляемой ради денег», сфокусированной на расширении маржи в медленнорастущих категориях корпоративного ПО, с базой клиентов из регулируемых отраслей. У компании не было ни инженерной глубины, ни операционных SaaS-мускулов, ни терпения публичного рынка, чтобы инвестировать в Cylance так, как публичные инвесторы инвестировали в Falcon. С момента закрытия сделки главным вопросом о Cylance был не «какова дорожная карта продукта», а «сколько BlackBerry готова потратить на R&D, чтобы сохранить конкурентоспособность».

Ответ, как показали следующие пять лет, был: «недостаточно».

Коллапс после поглощения

Стюарт Макклур остался президентом BlackBerry Cylance на период интеграции. 24 сентября 2019 года Джон Чен объявил, что Макклур уходит. Чен сказал, что Макклур «принял личное решение, которое мы должны уважать» и что он «хотел бы, чтобы тот остался дольше». Срок Макклура на посту президента продлился около восьми месяцев с момента закрытия. Его сменил операционный директор Даниэль Доймо.

Уход Макклура сопровождался широким исходом руководства. В публикациях называли Диди Дэйтон, Тима Маки, Луизу Кук, Малкольма Харкинса (директора по безопасности и доверию), Криса Скэнлана, Эбигейл Мэйнс и Брайана Стонера. Райан Перме, соучредитель и главный научный сотрудник, задержался дольше Макклура, работая в офисе CTO BlackBerry, но к маю 2022 года уже значился операционным партнёром в SYN Ventures.

Дальнейшая деятельность Макклура показательна. Он основал NumberOne AI в 2021 году, привлекши $13 млн в октябре 2022-го. Стал гендиректором Qwiet AI (бывшая ShiftLeft), переориентировав фирму на безопасность приложений на базе ИИ. Основал Wethos AI, привлёкшую $7,5 млн посевных. Иными словами, он сделал ровно то, что обычно делают успешные вышедшие основатели, — собрал портфель ставок следующего цикла. В публичных комментариях о том, как BlackBerry управляла Cylance, он был подчёркнуто сдержан.

Под Доймо и его преемниками продуктовую организацию Cylance реорганизовали в более широкое подразделение кибербезопасности BlackBerry. Названия продуктов сохранялись несколько лет, но в итоге были консолидированы под брендом CylanceENDPOINT. BlackBerry представила продукт сетевого доступа с нулевым доверием BlackBerry Gateway в 2021 году и продвигала XDR-стратегию под знаменем BlackBerry Spark. Ни одно из этих усилий не дало значимого роста доли рынка. «Магический квадрант» Gartner 2021 года поместил BlackBerry в «нишевые игроки» и включил явное предупреждение о размывании бренда из-за самого названия BlackBerry. Компания оставалась «нишевым игроком» вплоть до квадранта 2024 года.

Финансовая траектория сегмента кибербезопасности BlackBerry рассказывает историю без комментариев. Выручка сегмента за 2021 финансовый год — первый полный год владения Cylance — составила $491 млн. За 2022-й — около $477 млн (спад 3%). За 2023-й — около $418 млн. За 2024-й — $378 млн. ARR кибербезопасности достигла пика в $347 млн в четвёртом квартале 2022 финансового года и опустилась до ~$273 млн к третьему кварталу 2024-го. Коэффициент удержания выручки в долларах упал до 81% в середине 2024 финансового года — финансовая подпись продукта, теряющего долю при продлении контрактов.

За падением выручки последовали списания. BlackBerry списала $594 млн неденежного гудвилла по подразделению Spark/Cylance в первом квартале 2021 финансового года, затем ещё $476 млн совокупно в четвёртом квартале 2023-го, плюс меньшие списания в 2024-м. Совокупные списания, связанные с подразделением Cylance и Spark, превысили $1 млрд ещё до того, как зашла речь о продаже.

Джон Чен ушёл в отставку 4 ноября 2023 года. 11 декабря 2023 года BlackBerry объявила Джона Джаматтео постоянным гендиректором. Джаматтео — с профилем интеграции и оздоровления бизнеса, а не создания категорий. В том же объявлении сообщалось, что BlackBerry откажется от запланированного IPO IoT-бизнеса и проведёт полное разделение IoT и кибербезопасности на самостоятельные подразделения.

Через двенадцать месяцев Джаматтео нашёл покупателя для эндпойнт-части. 16 декабря 2024 года BlackBerry и Arctic Wolf совместно объявили, что Arctic Wolf приобретёт эндпойнт-активы Cylance, включая CylancePROTECT, CylanceOPTICS и управляемый сервис CylanceMDR. Сумма сделки — $160 млн наличными плюс примерно 5,5 млн обыкновенных акций Arctic Wolf (частной компании, в последний раз оценённой в $4,3 млрд в 2021 году). Наличные структурировали как ~$80 млн при закрытии плюс ~$40 млн через год. Сделка закрылась 3 февраля 2025 года. BlackBerry сохранила управление конечными точками, AtHoc и SecuSUITE, переименовав их в Secure Communications.

Арифметика жестока. BlackBerry заплатила $1,4 млрд за Cylance наличными в феврале 2019 года. Шесть лет спустя она продала эндпойнт-активы за $160 млн наличными плюс акции — по самой оптимистичной оценке, может быть, $275 млн в совокупности. TechCrunch резюмировал итог точно: BlackBerry продала Cylance примерно в семь раз дешевле, чем заплатила. Колумнист Globe and Mail Дэвид Милстед в более резком разборе назвал подразделение «самой дорогой авантюрой за десятилетнее правление Джона Чена» и описал его как «денежную яму». Акции BlackBerry выросли примерно на 14% на объявлении — вердикт рынка о том, что компании лучше без этого актива.

Ник Шнайдер, президент и гендиректор Arctic Wolf, чётко сформулировал суть в заявлении: «решения для конечных точек сами по себе годами не оправдывали обещанных результатов», и Arctic Wolf интегрирует возможности предотвращения Cylance в свою открытую XDR-платформу Aurora. Arctic Wolf переименовала продуктовую линейку в Aurora Endpoint Security. Бизнес, который Cylance построила в 2014 году как замену антивирусу, в 2025-м был перепрофилирован в уровень эндпойнт-телеметрии для чужой управляемой платформы обнаружения.

Что CrowdStrike и SentinelOne сделали правильно, а Cylance — нет

Краткое резюме: CrowdStrike и SentinelOne строили бизнесы, пока Cylance строила продукт. Развёрнутая версия полезнее, потому что каждый победитель выиграл по слегка разным причинам.

Главное правильное решение CrowdStrike — облачная архитектура. Курц поставил на то, что преимущества глобального Threat Graph за пять лет перевесят скепсис покупателей. Так и вышло. К 2024 году граф обрабатывал 6,2 трлн событий в день. Каждый новый паттерн атаки у одного клиента за минуты становился автоматической защитой для всех. Ни одна модель на устройстве, включая модель Cylance, не могла сравниться с этим охватом сигнала.

Второе решение CrowdStrike — модульность платформы. Тонкий сенсор с интеллектом в облаке позволял отправлять новые модули существующим клиентам без переустановки агента. Это дало «платформенное компаундирование» — коэффициенты удержания регулярно выше 120% за счёт того, что клиенты докупали модули при продлении.

Третье — управляемые сервисы в масштабе. OverWatch и Falcon Complete не только приносили выручку, но и давали аналитикам непрерывную видимость живой среды атак, что улучшало логику обнаружения для всех клиентов.

Показательно, что самое разрушительное событие CrowdStrike за три года — сбой 19 июля 2024 года, когда дефектное обновление сенсора «уронило» ~8,5 млн устройств Windows по всему миру (Delta Air Lines подала иск на $500–550 млн), — не нанесло существенного ущерба конкурентной позиции. Удержание клиентов сохранилось, выручка продолжала расти. Бренд выжил, потому что ценность платформы для центров операций безопасности была достаточно глубокой, чтобы поглотить даже исключительно разрушительный сбой. Бренд Cylance такой глубины так и не достиг: обход Skylight в 2019 году был операционно куда меньше сбоя CrowdStrike, но навредил Cylance гораздо больше, потому что бренд был построен на одном техническом заявлении, а не на глубокой операционной зависимости.

Главное решение SentinelOne — автономное реагирование. Идея Вайнгартена с самого начала состояла в том, что узким местом корпоративной безопасности являются живые аналитики, и агент, способный автономно обнаруживать, выстраивать контекст через Storyline и устранять ущерб через откат, масштабируется там, где EDR с участием человека — нет. Откат шифрования вымогателей в один клик стал требованием закупок во многих аккаунтах среднего рынка, которые Cylance так и не выиграла.

Второе решение SentinelOne — экономика каналов и MSP. Продукт был спроектирован для многопользательского развёртывания через реселлеров так, как прямая корпоративная модель Cylance — нет. По мере того как поставщики управляемых услуг становились доминирующим каналом закупок для среднего рынка в 2020–2023 годах, SentinelOne выигрывала непропорционально много.

Третье — дисциплинированные поглощения, расширявшие платформу Singularity по тому же модульному паттерну, что и CrowdStrike.

Оба победителя также пользовались доступом к капиталу публичного рынка, которого у Cylance не было. IPO CrowdStrike в июне 2019 года привлекло ~$612 млн; IPO SentinelOne в июне 2021-го — ~$1,2 млрд, крупнейшее IPO в кибербезопасности на тот момент. Эти средства финансировали R&D, расширение продаж и поглощения в темпе, который денежная политика BlackBerry для Cylance не профинансировала бы.

Наконец, оба победителя бережно выстраивали отношения с независимыми аналитиками и тестовыми лабораториями, подавая результаты MITRE ATT&CK как дорожную карту улучшений. Cylance, напротив, атаковала лаборатории за неблагоприятные результаты, отзывала продукты с тестов, которые не могла контролировать, и была за это наказана аналитическим сообществом. Лаборатории пережили эту риторику.

Уроки для руководителей кибербезопасности и технологических компаний

История Cylance даёт набор стратегических принципов, выходящих далеко за пределы безопасности конечных точек.

Урок первый — разница между фичей и рвом. Предзапускной ML-скоринг был реальным прорывом в 2014 году, но к 2017-му его мог воспроизвести любой компетентный вендор. Cylance построила всё коммерческое предложение на технической возможности с периодом полураспада около трёх лет до копирования. Более глубокие архитектурные решения — облачные графы телеметрии, многопродуктовые агенты, автономное реагирование, модульные платформы — имели период полураспада в десять лет и больше. Руководители, оценивающие клин-фичу, должны спросить: как долго продержится преимущество после того, как компетентные конкуренты решат его скопировать, и что будет построено за это окно, чтобы углубить ров. Cylance построила маркетинг. CrowdStrike и SentinelOne построили платформы.

Урок второй — скорость расширения платформы. Переход от защиты к обнаружению, к XDR, к операциям безопасности был предсказуем уже к 2015 году. Cylance выпустила EDR с двухлетним отставанием, и оно стало постоянным, потому что её архитектуру нельзя было дооснастить под облачный XDR без перестройки ядра. Расширения платформы нужно планировать до пика выручки клина, а не после.

Урок третий — облачная архитектура как стратегический ров. Облачная ставка CrowdStrike в 2011 году выглядела рискованной, а в 2026-м выглядит очевидной. Локальная архитектура Cylance, которую маркетинг активно прославлял в 2014–2017, стала её центральной уязвимостью в 2019–2024. Нужно чётко различать, какие архитектурные решения — временные тактические преимущества, а какие — устойчивые рвы.

Урок четвёртый — риски продажи культурно несовместимому покупателю в неудачной точке цикла. BlackBerry купила высокорастущую, ориентированную на каналы, маркетингоёмкую компанию на пике частной оценки и потом не смогла профинансировать нужные ей расширения. Основатели, рассматривающие выход, должны спросить: есть ли у покупателя культурный и операционный паттерн, чтобы масштабировать бизнес; какова сопоставимая публичная цена в ближайшие двенадцать месяцев; какова цена быть запертым внутри медленного денежного потока, когда рынок переоценивает категорию. Cylance ответила неправильно на два из трёх вопросов.

Урок пятый — удержание основателей после поглощения. Макклур ушёл через восемь месяцев, широкий исход руководства произошёл в течение года. Покупатели, платящие премию за таланты, должны относиться к следующим двум-трём годам основателей как к части покупаемого актива и быть честны насчёт культурной совместимости.

Урок шестой — репутационный риск маркетинговых заявлений. Кампания «Math vs. Malware» отлично служила в 2014–2017, но накопила долг, пришедший к оплате в 2019-м. Урок не в том, что маркетинг ИИ плох, а в том, что асимметричные заявления, подразумевающие качественное превосходство сверх того, что технология может защитить против исследователя-противника, создают хрупкий бренд. Скромность бренда дешева. Защитная оборона бренда после удара по репутации — невосстановима.

Урок седьмой — независимые тесты и сторонняя проверка. Враждебная позиция Cylance к лабораториям привела к тому, что тестовое сообщество к 2018 году относилось к ней как к проблемному вендору. К тестовому сообществу нужно относиться как к постоянному стейкхолдеру, а не тактическому противнику.

Урок восьмой — каналы и партнёрские экосистемы. Архитектура SentinelOne, дружелюбная к MSP, была сознательным стратегическим активом. Cylance так и не построила ни сильную экономику MSP, ни сопоставимый MDR-сервис. Архитектуру под экономику каналов нужно закладывать с самого основания.

Урок девятый — создание категории против лидерства в категории. Cylance помогла создать категорию AI-защиты конечных точек, но всё равно потеряла лидерство. Создание категории — маркетинговое достижение. Лидерство — продуктовое, организационное и капитальное. Компании, в итоге возглавившие категории облака, мобильных устройств и SaaS CRM, редко были теми, кто их создал.

Урок десятый — капитальная стратегия. Cylance выбрала стратегическую продажу за $1,4 млрд вместо публичного пути, который оценил бы компанию в кратно больше. Правильный ответ зависел от предпочтений основателей и инвесторов по риску. Неправильным в ретроспективе был выбор покупателя, который шесть лет недоинвестировал бы в бизнес.

Урок одиннадцатый — разница между технологической инновацией и устойчивой бизнес-моделью. Все три компании начинали с сопоставимым техническим авторитетом. Устойчивые бизнесы построили только двое. Различием была не качество инновации, а качество окружающих решений: архитектурная расширяемость, модульность, капитальная стратегия, экономика каналов, дисциплина в M&A, отношения с третьими сторонами и скромность бренда. Технологическая инновация необходима, но регулярно недостаточна.

Урок двенадцатый — специфика кибербезопасности. Это одна из немногих категорий ПО, где продукт должен побеждать активного, адаптивного противника. Это делает асимметричные маркетинговые заявления опаснее, а архитектурные решения о телеметрии и глобальной корреляции — ценнее. Руководители в смежных категориях должны заметить, что состязательная динамика доверия к ИИ-заявлениям теперь появляется и у них по мере распространения генеративного ИИ.

Какими становятся устойчивые бизнесы кибербезопасности

Категория безопасности конечных точек в 2026 году фундаментально отличается от той, в которую Cylance вошла в 2014-м. Microsoft Defender for Endpoint, распространяемый через бандл Microsoft 365 E5, достиг ~28,6% доли рынка в 2024 году. CrowdStrike держал ~14,2%. SentinelOne, Palo Alto Cortex XDR, Trend Micro и Sophos завершали лидерскую группу. Cylance под брендом Aurora Endpoint Security от Arctic Wolf существует как часть чужого управляемого XDR. Тезис об отдельном эндпойнт-антивирусе как самостоятельном продукте больше коммерчески нежизнеспособен.

Эта консолидация имеет предсказуемые последствия. Бюджеты закупок концентрируются у меньшего числа вендоров. Коэффициенты удержания на вершине рынка значительно выше 110%. Экономическая ценность лучших точечных продуктов быстро сжимается по мере того, как бандлированные платформы достигают паритета функций. Победители следующих пяти лет — те, кто сумеет расшириться в операции безопасности, обнаружение угроз идентичности, защиту облачной конфигурации, безопасность ИИ и SaaS — по тому же модульному паттерну, что у CrowdStrike и SentinelOne. Проигравшие — те, кто не сможет расшириться: из-за архитектуры, капитала или культуры.

У Cylance в её годы была и проблема архитектуры, и проблема капитала после сделки с BlackBerry, и, возможно, культурная проблема. Три из трёх. Итог 2024 года — цена приобретения $1,4 млрд, списанная до продажи за $160 млн, — это то, что происходит, когда все три ограничения связывают одновременно.

Более широкий вывод: в категориях, где работает платформенное компаундирование (а сегодня это большинство категорий корпоративного ПО), стратегический вопрос — никогда не «есть ли у нас продукт лучше». Он звучит так: «есть ли у нас архитектура, капитальная база, команда и позиция бренда, способные расширить лучший продукт в многопродуктовую платформу за десятилетний горизонт». Основатели Cylance верно ответили на продуктовый вопрос в 2012 году, а затем провалили каждый последующий архитектурный и стратегический. CrowdStrike и SentinelOne ответили верно и на тот, и на другие. Совокупный разрыв между этими ответами — примерно $80 млрд корпоративной стоимости по текущим рыночным капитализациям. Это цена того, чтобы принять клин за ров.

Cylance выиграла фичу, но проиграла платформу

Cylance провалилась не потому, что её основатели ошиблись в машинном обучении, и не потому, что её покупатель был в целом некомпетентен. Она провалилась потому, что последовательность по отдельности оправданных решений — продать рано стратегическому покупателю, оптимизировать под точность предзапускной модели, а не под широту телеметрии, продвигать технологию с асимметричной уверенностью, относиться к тестовому сообществу как к противникам, выпустить единственный продукт вместо модульной платформы, принять операционные и капитальные ограничения BlackBerry — сложилась в стратегическую позицию, которая не пережила публичный рынок, переоценивший облачную кибербезопасность в множители, которых её основатели не предвидели. Каждое решение выглядело разумным по отдельности в 2018 году. Вместе они привели к итогу, где компания, которая, можно сказать, изобрела современный AI-антивирус, была вырезана из медленнорастущего родителя и перепродана вендору управляемого обнаружения за десятую часть первоначальной цены.

Сложнее всего усвоить, что тот же самый паттерн доступен для повторения в любой момент в собственной компании. Предложения о стратегическом поглощении приходят на пиках. Окна публичного рынка закрываются. Архитектурные решения, принятые рано, ограничивают дорожные карты на десятилетие. Маркетинговые позиции, культивированные в годы клина, становятся обузой в годы платформы. Результаты тестов, казавшиеся несправедливыми в 2016 году, задают позиционирование Gartner в 2024-м. Основатели, не выносящие культурной фактуры родительской компании, уходят в течение года — и их институциональное знание уходит с ними.

Стюарт Макклур и Райан Перме построили одну из важнейших технологий кибербезопасности 2010-х. Они продали её за $1,4 млрд наличными — реальный результат для них, их команды и инвесторов. Технология, которую они создали, теперь часть платформы Aurora от Arctic Wolf и будет жизнеспособным продуктом в категории управляемого XDR ещё годы. По любым обычным меркам Кремниевой долины основатели выиграли. Компания — нет. Это различие — самое полезное в этой истории.

Самая трудная дисциплина в технологической стратегии — распознать в момент наибольшего коммерческого импульса, что прославляемый ров на самом деле является фичей на десятилетнем таймере. Cylance прославила фичу. CrowdStrike и SentinelOne построили рвы. Счёт пришёл в феврале 2025 года на $160 млн, оплаченный наличными плюс небольшой кусок частного капитала, и книги закрылись на компании, которая должна была стать лидером платформы в категории AI-антивирусов, но в итоге оказалась поучительной вступительной главой.