Пять ведущих AI-вендоров провалили одну и ту же атаку. Что дальше?

Пять вендоров, один сценарий сбоя, ни одной чистой альтернативы. Именно с такой практической ситуацией сталкивается любая платформенная команда на этой неделе: исследование Cisco, освещённое The New Stack, предположительно установило, что frontier-модели OpenAI, Anthropic, Google, Amazon и xAI уязвимы перед определённым классом атак. Для тех, кто подписывает многолетний корпоративный контракт на inference в следующем квартале, заголовок новости куда менее важен, чем то, как это меняет вашу переговорную позицию.

Цифры

Выявленная закономерность столь же конкретна, сколь и жестока: каждая крупная frontier-лаборатория, протестированная Cisco, дала сбой на одном и том же векторе атаки. Исходная публикация The New Stack называет OpenAI, Anthropic, Google, Amazon и xAI в числе вендоров, охваченных исследованием. По сути, это весь шорт-лист, который фигурирует в любом серьёзном корпоративном RFP по AI в 2026 году. Возможности «переключиться на конкурента, который прошёл тест» нет, потому что такого конкурента не существует.

Для CTO или руководителя платформы ключевым ориентиром является не абсолютный показатель прохождения/непрохождения одного бенчмарка, а исторический паттерн времени реакции frontier-лабораторий на раскрытые уязвимости. Волна prompt injection в 2024 году показала неравномерность патчинга: одни вендоры выпускали меры защиты за недели, другие оставляли известные классы уязвимостей без исправлений кварталами, поскольку фикс затрагивал базовое поведение при обучении, а не слой ограждений. Если это открытие Cisco относится ко второй категории, окно ответственности измеряется продуктовыми циклами, а не циклами патчинга.

Второй показатель, который важен и которого нет в источнике, — ваш собственный. Какая доля ваших расходов на inference сосредоточена у одного из этих пяти вендоров? В финтех-компаниях уровня серии B и лицензированных iGaming-проектах, с которыми я работаю, ответ, как правило, превышает 80 процентов, нередко 100 процентов, — всё на одном провайдере с годовыми обязательствами в высоких шести или низких семи цифрах. Открытие, которое равномерно распределяется по всем пяти провайдерам, не решает проблему концентрации риска — оно лишь лишает вас возможности делать вид, что диверсификация когда-либо была реальным инструментом её снижения. Реальный риск, который вы несёте, — это коррелированный сбой всего frontier-уровня, и стоимость этой корреляции падает на ту команду, которая отвечает за production-агента.

Ещё один важный аспект. Исследование исходит от Cisco, а не от академической лаборатории или собственной red team провайдера. Это имеет значение для закупок, поскольку Cisco продаёт продукты безопасности тем самым корпоративным клиентам, которые сейчас читают это исследование. Воспринимайте результаты как достоверные, но внимательно читайте последующий маркетинговый материал, когда он появится.

Что действительно нового

Новизна не в том, что «frontier-модели можно атаковать». Это было принято в расчёт ещё с 2023 года. Новизна — в единообразии. Когда пять лабораторий с принципиально разными обучающими стеками, командами безопасности и философиями выравнивания ломаются на одном входном паттерне, сбой перестаёт быть проблемой вендора. Это проблема категории — а значит, её нельзя решить сменой вендора, только добавлением слоя над ними.

Это разграничение меняет вопрос «строить или покупать» для AI-платформенных команд. На протяжении 2025 года доминирующим паттерном было: выбрать frontier-провайдера, использовать его инструменты или примитивы вызова функций, опираться на собственный стек безопасности провайдера и добавлять лёгкую фильтрацию на входе/выходе. Неявная ставка заключалась в том, что внутреннее red teaming лаборатории будет опережать модель угроз. Равномерный сбой у всех пяти лабораторий обесценивает эту ставку. Новый паттерн, который, на мой взгляд, к Q4 становится базовым требованием, — это независимый слой политик и контентной безопасности, располагающийся между вашим приложением и той frontier-моделью, к которой вы маршрутизируете запросы.

Для рынка найма это существенно. Должностная инструкция «AI Platform Engineer», написанная в начале 2025 года, делала акцент на prompt engineering, фреймворках оценки и оптимизации затрат у разных провайдеров. Инструкция, написанная после подобного исследования, должна включать adversarial testing, автоматизацию red team и применение политик на уровне шлюза. Это другой кандидат из другого пула — инженеры по безопасности, освоившие LLM, а не ML-инженеры, немного знакомые с безопасностью. Таких кандидатов меньше и они дороже, и разница в компенсации проявится в ваших планах на 2027 год.

Регуляторный контекст тоже меняется. Для финтех- и iGaming-команд, работающих в юрисдикциях, которые уже требуют документально подтверждённого контроля над автоматизированным принятием решений, опубликованное исследование, демонстрирующее категорический сбой базового инструментария, — это именно тот артефакт, на который регулятор может указать в ходе аудита. «Мы используем frontier-провайдера» перестаёт быть защитой. «Мы используем frontier-провайдера плюс следующие независимо протестированные меры защиты» становится минимальной формулировкой.

Что уже учтено в AI-разработке

Часть этого рынок уже усвоил. Идея о том, что любой production-агент нуждается в ограждениях помимо тех, что поставляет провайдер модели, стала консенсусом ещё с первой волны MCP-деплойментов. Сама спецификация MCP предполагает, что вызывающее приложение отвечает за авторизацию и область действия, а не модель. Поэтому само по себе существование атак на frontier-модели не является новостью ни для кого, кто выпускает агентов в регулируемых вертикалях.

Что не учтено — так это симметрия сбоя. Стандартная защита при закупках — «у нас есть мультипровайдерный failover» — тихо слабеет с каждым подобным исследованием. Финансовые директора соглашались на премиальное ценообразование frontier-лабораторий отчасти на основе неявной теории о том, что плата за лучшую лабораторию обеспечивает лучшие свойства безопасности по сравнению с более дешёвыми альтернативами. Равномерный сбой у топ-пяти убирает обоснование этой премии. Ожидайте, что закупочные команды начнут с большим напором задавать вопрос: зачем существует надбавка за безопасность, если результаты в области безопасности неразличимы.

Также не учтён ответ open source. Когда закрытая frontier-модель ломается, вы получаете уведомление от вендора и патч по графику вендора. Когда модель с открытыми весами на Hugging Face ломается, вы получаете сообщество исследователей, публично итерирующих меры защиты, нередко в течение нескольких дней. Для платформенных команд, которые сопротивлялись переходу на уровень открытых весов по операционным соображениям, это исследование — тот самый аргумент, который склоняет математику «строить или покупать» в пользу сохранения самостоятельно размещённого fallback для путей с наибольшим риском.

Контрарианская точка зрения

Очевидное прочтение: это исследование — плохие новости для каждого frontier-вендора и хорошие новости для компаний, занимающихся инструментами безопасности, удобно включая Cisco. Контрарианское прочтение: оно практически ничего не меняет, потому что ни один корпоративный покупатель на самом деле не собирается менять провайдера из-за одного обнаружения уязвимости безопасности, и лаборатории это знают.

Стоимость переключения для серьёзного AI-платформенного деплоймента — оценки, библиотеки промптов, fine-tune, интеграции с observability — теперь достаточно высока, чтобы раскрытие уязвимости должно было быть катастрофическим и эксклюзивным для одного вендора, чтобы вызвать миграцию. Данное открытие не является ни тем ни другим. Оно распределено по всем пяти, что парадоксально защищает каждого из них. Чистый эффект может выразиться в однократном увеличении расходов на инструменты безопасности на квартал и нулевом движении доли первичных вендоров. Лаборатории выпустят меры защиты, вендоры безопасности — дашборды, а базовая концентрация рынка продолжится. Если вы делаете ставку на перестановки в сфере закупок frontier-уровня на основе подобного исследования, я бы занял противоположную сторону.

Главный юрисконсульт любой AI-зависимой компании уровня серии B или более поздней должен на этой неделе задать ровно один вопрос: включает ли наш текущий контракт с frontier-провайдером пункт об инциденте безопасности, позволяющий пересмотреть ценообразование или выйти без штрафных санкций, если независимое исследование зафиксирует категорический сбой, который провайдер не устранил в течение определённого срока? Если ответ «нет», ближайшее продление — момент для исправления этого, а данное исследование — артефакт, на который вы ссылаетесь в правках к документу.

Ключевые выводы

• Результаты исследования Cisco о равномерном сбое у OpenAI, Anthropic, Google, Amazon и xAI означают, что смена вендора не является жизнеспособной мерой защиты — ею является независимый слой безопасности.
• Профиль должности AI Platform Engineer смещается в сторону кандидатов с приоритетом безопасности, с измеримыми последствиями для компенсаций в планировании на 2027 год.
• Закупочные команды должны использовать это исследование для пересмотра условий о безопасных инцидентах и оспаривания неявной надбавки за безопасность в ценообразовании frontier-провайдеров.
• Регулируемые вертикали (финтех, iGaming, healthtech) теряют защиту в виде «мы используем frontier-провайдера» и нуждаются в задокументированных, независимо протестированных мерах защиты.
• Командам, оценивающим вопрос «строить или покупать» для уровня открытых весов в качестве fallback, следует пересмотреть расчёты теперь, когда преимущества безопасности закрытых лабораторий выглядят слабее, чем предполагал маркетинг.

Командам, оценивающим frontier AI-инфраструктуру, теперь следует задавать себе более острый вопрос, чем «кто из вендоров наиболее безопасен». Правильный вопрос звучит так: как выглядит наша архитектура, если предположить, что ни один из них не безопасен, а продукт всё равно нужно выпускать?