Прогноз на март 2026: Безопасность ИИ — противоречие в терминах?
Разработчики и аналитики всё чаще применяют инструменты искусственного интеллекта для создания кода, а также для тестирования производительности и безопасности готовых продуктов. Они также внедряют функции ИИ непосредственно в свои продукты. Но насколько защищены сами эти инструменты и алгоритмы ИИ? Последние отчёты показывают, что они подвержены уязвимостям, как и любой другой код.
Например, Google недавно выпустил обновление для уязвимости CVE-2026-0628, связанной с ИИ Gemini, реализованным в браузере Chrome. Эта уязвимость повышения привилегий, оценённая как критическая с рейтингом CVSS 8.8, была подробно описана исследовательской группой безопасности Palo Alto Networks. Согласно их данным, «эта уязвимость могла позволить вредоносным расширениям с базовыми разрешениями захватить новую панель Gemini Live в браузере Chrome».
В схожем ключе продолжают поступать сообщения о пользователях, загружающих «ИИ-расширения» для использования новейших инструментов искусственного интеллекта. Как поясняется в статье, внешне эти расширения могут предоставлять ожидаемую функциональность, в то время как на самом деле они проникают в систему и собирают данные! Ещё более тревожно то, что они появляются во многих магазинах приложений для лёгкой загрузки, пользуясь спросом на новые инструменты ИИ.
Microsoft добавляет защиту данных в Copilot и выпускает небольшой серверный патч
Что касается позитивных новостей об использовании ИИ, Microsoft вводит более строгий контроль над тем, к каким файлам имеет доступ помощник на базе искусственного интеллекта Microsoft 365 Copilot во время обработки данных. Это прямой ответ на многочисленные жалобы клиентов о том, что Copilot включал конфиденциальную информацию в свои отчёты.
Функция предотвращения потери данных для файлов Office может применяться к файлам, хранящимся в OneDrive и SharePoint, чтобы ограничить доступ Copilot, однако эта защита не распространялась на файлы, сохранённые вне этих расположений на локальной системе, что и стало источником утечки конфиденциальной информации. Данное изменение должно появиться в апреле и будет применено по умолчанию, но важно отметить, что это не изменение в самом Copilot, а изменение в использовании настроек предотвращения потери данных Microsoft. Если вы не хотите, чтобы Copilot имел доступ к вашим файлам, крайне важно начать использовать соответствующие средства контроля предотвращения потери данных для ваших файлов Office.
Microsoft представила солидный набор обновлений в прошлый вторник патчей, и в результате февраль оказался довольно скромным с точки зрения исправлений от Microsoft. После череды внеплановых патчей в январе, устраняющих проблемы с производительностью и безопасностью, в феврале их не было вовсе, и лишь один появился 2 марта.
Этим обновлением стало KB 5082314 для Server 2022, которое, по словам Microsoft, "устраняет проблему, влияющую на продление сертификатов для Windows Hello for Business в некоторых развертываниях на основе Active Directory Federation Services (ADFS) в Windows Server 2022". Оно затрагивает только организации, использующие развертывания ADFS, поэтому не является критичным для остальных. Этот внеплановый патч является накопительным, включая обновления февральского вторника патчей, и также будет включен в мартовские обновления.
Notepad++ 8.9.2 защищает обновления с помощью двойной блокировки
В прошлом месяце я упоминал, что NotePad++ сообщил в своем блоге об уязвимости безопасности, связанной со скомпрометированными обновлениями продукта. 16 февраля они анонсировали выпуск версии 8.9.2, которая включает новый дизайн 'двойной блокировки' с проверкой сертификата и подписи для усиления защиты процесса обновлений. Всем пользователям рекомендуется как можно скорее перейти на эту версию, чтобы предотвратить компрометацию и убедиться, что загружаемый файл поступает с notepad-plus-plus.org.
Apple выпускает исправления безопасности для macOS, iOS и Safari
Apple выпустила крупные обновления безопасности для всех своих операционных систем, а также для Safari, в тени вторника патчей, в среду 11 февраля. Если вы их пропустили, вам следует оперативно обновить macOS Tahoe 26.3, устраняющую 55 CVE, macOS Sequioa 15.7.4, устраняющую 36 CVE, и macOS Sonoma 14.8.4 с 42 CVE.
В тот же день также вышли обновления версии 26.3 для iOS, iPadOS, tvOS, watchOS, visionOS и Safari. Их следовало включить в развертывания прошлого месяца в рамках вторника патчей. Apple также предоставила некоторые ранние обновления 26.3.1 в начале марта, но для них не указаны связанные CVE.
Прогноз на вторник патчей в марте 2026 года
- Корпорация Microsoft выпустила в прошлом месяце надежный набор обновлений, и я надеюсь, что эта тенденция продолжится с контролируемым и тщательно протестированным набором исправленных уязвимостей. Будут выпущены обычные обновления для операционных систем и расширенной поддержки (ESU). Похоже, Microsoft Office продолжит обновлять приложения Office 2016, а также Office 2019, поэтому ожидайте их, как и обычные онлайн-версии с технологией Click-to-Run. Непредсказуемыми могут стать обновления для .NET Framework, SQL Server или Exchange Server.
- Очередное обновление Adobe для приложений Creative Cloud, скорее всего, затронет Illustrator и Photoshop, а возможно, и несколько других. Квартальное обновление для Acrobat и Acrobat Reader обычно выходит в апреле, но в этом месяце мы можем получить незначительное обновление, если потребуется критический патч.
- Apple выпустила новые обновления для iOS и macOS Tahoe 4 марта, поэтому следите за появлением обновлений для остальных поддерживаемых операционных систем в ближайшие дни.
- Бета-версия Google Chrome 146 была выпущена в конце этой недели, поэтому обновления во вторник патчей может и не быть. Однако, учитывая мои предыдущие комментарии об искусственном интеллекте Gemini и расширениях Chrome, убедитесь, что вы устанавливаете обновления, как только они выходят.
- Выпуски продуктов Mozilla на следующей неделе могут быть очень ограниченными. Крупные обновления для Firefox 148, Firefox ESR 140.8, Firefox ESR 115.33, Thunderbird 148 и Thunderbird ESR 140.8 вышли 24 февраля, поэтому на следующей неделе, вероятно, будет затишье, но убедитесь, что они уже развернуты.
Бум искусственного интеллекта набирает обороты, поэтому крайне важно с осторожностью подходить к выбору приложений и их функций, которые допускаются в ваши сети. Использование технологий ИИ для создания более безопасного кода или помощи в бизнес-процессах, безусловно, необходимо, но помните об уязвимостях, которые могут существовать в таком коде, что порождает оксюморон термина «безопасность ИИ».