Что такое XBOW и почему про него пишут?

Американская компания, основанная в январе 2024 года Oege de Moor (бывший основатель Semmle/CodeQL в GitHub). Создаёт полностью автономного пентест-агента. В июне 2025 XBOW достиг первого места в US-лидерборде HackerOne, подав 1060 отчётов об уязвимостях за 3 месяца (54 критических, 242 high). К апрелю 2026 привлёк $237M инвестиций, статус единорога с оценкой $1 млрд+.

Что показывают бенчмарки AI-агентов в пентесте?

HackTheBox AI vs Human CTF (апрель 2025): AI решил 19 из 20 простых задач (95%), но на многошаговых финальных задачах люди превзошли все AI-команды. Cybench: Claude Sonnet 4.5 — 76.5% при 10 попытках. GPT-4 на one-day CVE с advisory (UIUC 2024) — 87%, без advisory — 13%. GPT-5.1-Codex-Max на CTF в ноябре 2025 — 76%. AutoPenBench: 21% автономно, 64% с human-assist. DARPA AIxCC финал (август 2025): команда Atlanta заняла 1-е место с $4 млн, найдено 18 реальных уязвимостей в open-source.

Что умеет Claude Mythos Preview и почему его не выпустили публично?

Claude Mythos Preview (апрель 2026) — экспериментальная модель Anthropic с беспрецедентными кибернетическими возможностями. Нашла тысячи zero-day во всех major операционных системах и браузерах, включая 27-летнюю уязвимость в OpenBSD и 16-летний баг в FFmpeg, переживший 5 млн тестов. Anthropic не выпустила модель публично из соображений безопасности — впервые в истории модель признана слишком опасной для открытого доступа. Запустили Project Glasswing — консорциум из 12 компаний (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks + Anthropic) с доступом к модели для поиска и закрытия уязвимостей.

Какие ограничения у AI-пентест-агентов?

Главные ограничения на апрель 2026: pretend execution — агент иногда начинает воображать вывод команд вместо их реального выполнения и строит рассуждения на фиктивном результате (задокументировано в EnIGMA paper ICML 2025). GUI и нестандартные интерфейсы — слабое место. Сложные многошаговые цепочки — на HackTheBox финальных многошаговых задачах в апреле 2025 люди значительно превзошли все AI-команды. Нестандартные протоколы, нишевые архитектуры, creative exploitation требуют человеческой интуиции. Без advisory на CVE эффективность падает с 87% до 13% (UIUC 2024).

Главная›Блог›AI-агент как пентестер

AI-агент как пентестер: как это работает и что находит в 2026

Q: Что такое AI-агент как пентестер?

Автономная система, которая самостоятельно выполняет задачи пентестера: разведку, построение гипотез об уязвимостях, эксплуатацию, формирование отчёта. Базируется на LLM в роли планировщика (o3, Claude Opus 4.6, Gemini 2.5 Pro), наборе инструментов (nmap, Burp Suite, sqlmap, nuclei) через function calling или MCP, и памяти (векторная БД, knowledge graph). В 2026 году такие агенты находят реальные zero-day в production-ПО и достигают топовых мест в bug bounty-рейтингах.

Q: Какие реальные уязвимости нашли AI-агенты?

Публично задокументированные: Big Sleep (Google) — stack buffer underflow в SQLite в октябре 2024 (первый AI-найденный zero-day в memory-safety ПО); Claude Opus 4.6 от Anthropic — blind SQL injection в Ghost CMS (CVE-2026-26980) за 90 минут в феврале 2026; 23-летний баг в ядре Linux; remote root в FreeBSD за 4 часа; 22 уязвимости в Firefox за февраль 2026. XBOW — 1060+ bug bounty отчётов с апреля по июнь 2025, из них 54 критических. NodeZero первым автономно решил Game of Active Directory за 14 минут (эксперты — 12-16 часов).

Q: Из чего состоит архитектура AI-пентест-агента?

Типичный стек 2026: Planner — reasoning-модель (o3/o4-mini, Claude Sonnet 4.6 или Opus 4.6, Gemini 2.5 Pro). Tool use — инструменты (nmap, Burp, sqlmap, nuclei, metasploit) через function calling или MCP-серверы. Memory — PostgreSQL + pgvector для семантической памяти, knowledge graph для эпизодической. Reflection loops — оценка результата каждого шага и корректировка. Sandboxing — изолированный Docker-контейнер для выполнения команд. Существует 6 архитектурных паттернов: single-agent, multi-agent planner-executor, specialized roles, swarm, MCP-based, Claude Code native.

Q: Сколько стоит запустить AI-пентест-агента?

PentestGPT на реальных HackTheBox машинах — около $131 за сессию из 10 машин (~$13 за хост). На XBOW validation suite: медиана $0.42 за отдельную задачу, средняя $1.11. Сами модели в апреле 2026: GPT-5.4 — $2.50/млн input + $15/млн output, Claude Sonnet 4.6 — $3/$15, Gemini 3.1 Pro — $2/$12. Agentic validation снижает стоимость триажа на ~80% по данным Cloud Security Alliance.

Q: Какие есть open-source AI-пентест-агенты?

PentestGPT (GreyDGL/PentestGPT) — USENIX Security 2024 Distinguished Artifact Award, наиболее известный академический фреймворк, решает 4/10 HackTheBox машин. HackingBuddyGPT (ipa-lab/hackingBuddyGPT) — research-grade минималистичный фреймворк. PentAGI (vxcontrol/pentagi) — использует PostgreSQL+pgvector для памяти. Mayhem (ForAllSecure) — AI-фаззер, победитель DARPA Cyber Grand Challenge 2016, поглощён Bugcrowd в ноябре 2025. AutoPenBench — open benchmark с 33 задачами.

Q: Заменят ли AI-агенты пентестеров полностью?

На апрель 2026 — нет, но архитектура рынка существенно меняется. Переход идёт от модели AI-ассистент пентестера к модели AI как первичный сканер, человек — на эскалации и сложных цепочках. HackTheBox в 2026 году фиксирует, что AI-augmented команды показывают solve rate 27% против 16% у human-only — 3,2x улучшение. Anthropic Frontier Red Team нашла 500+ zero-day в production-коде автоматически. Но серьёзные вендоры единодушны: human-in-the-loop остаётся обязательным для верификации находок, оценки бизнес-рисков и нестандартных сценариев.

Обновлено: апрель 2026 Следующее обновление: июль 2026 ~30 минут чтения ПЕРЕЛОМНО

В 2024–2026 годах автономные ИИ-агенты стали реальным инструментом наступательной кибербезопасности. Big Sleep от Google в октябре 2024 нашёл первый zero-day в SQLite. XBOW в июне 2025 занял 1-е место в US-лидерборде HackerOne, подав 1060 отчётов за 3 месяца. Claude Opus 4.6 в феврале 2026 нашёл blind SQL injection в Ghost CMS (CVE-2026-26980) за 90 минут.

Архитектура современного агента: Planner (o3, Claude Opus 4.6, Gemini 2.5 Pro) + tool use через MCP (nmap, Burp, sqlmap) + память (PostgreSQL+pgvector) + reflection loops + Docker sandbox. Экономика: $0,42–1,11 за задачу, $13–15 за хост, снижение стоимости триажа на ~80%.

В апреле 2026 Anthropic не выпустил Claude Mythos Preview в публичный доступ — впервые в истории модель признана слишком опасной из-за cyber-возможностей. Запущен Project Glasswing — консорциум из 12 компаний с закрытым доступом.

// Содержание

Что такое AI-агент как пентестер?
Почему это переломный момент
Архитектура современного агента (2026)
Реальные публичные находки 2024–2026
XBOW: первый AI #1 на HackerOne
Google Big Sleep: первый AI-найденный zero-day
Эксперимент Carlini + Ghost CMS
Claude Mythos Preview и Project Glasswing
Коммерческие продукты
Open-source проекты
Бенчмарки и соревнования
DARPA AIxCC: финал 2025
Ограничения AI-агентов
Экономика и стоимость
Что меняется в 2026 и далее
FAQ

Что такое AI-агент как пентестер?

Автономный AI-пентест-агент — это программная система, в которой языковая модель выполняет роль планировщика задач, а набор внешних инструментов — роль рук. Агент получает цель («проверь домен example.com»), сам декомпозирует её на шаги, вызывает инструменты (nmap, Burp Suite, sqlmap), анализирует результаты, корректирует план и в итоге формирует отчёт с найденными уязвимостями.

Ключевое слово — автономный. Это не LLM-ассистент, которому человек задаёт вопросы. Это система, которая сама определяет, что делать следующим, какой инструмент использовать, и когда считать задачу завершённой. Человек подключается только на этапе верификации результатов.

Автономные пентест-агенты появились в исследовательских работах в 2023 году (PentestGPT, arXiv:2308.06782), но в 2024–2026 превратились из академического курьёза в реальный коммерческий инструмент. Ключевой триггер — появление в 2024–2025 моделей с длинным контекстом и качественным tool use (GPT-4, Claude 3.5/4, Gemini 1.5/2).

Почему это переломный момент

На апрель 2026 произошло четыре события, каждое из которых меняет индустрию.

Октябрь 2024: Google Big Sleep на базе Gemini 1.5 Pro нашёл stack buffer underflow в SQLite — первый публичный zero-day, найденный AI в memory-safety коде реального широко используемого ПО
Июнь 2025: XBOW занял 1-е место в US-лидерборде HackerOne. Полностью автономный агент. 1060 отчётов, 54 критических уязвимостей за 3 месяца
Февраль 2026: Claude Opus 4.6 от Anthropic за 90 минут нашёл blind SQL injection в Ghost CMS (платформе для блогов с 50 000 звёзд на GitHub, никогда ранее не имевшей критических уязвимостей). Одновременно — 22 уязвимости в Firefox, 23-летний баг в ядре Linux, remote root в FreeBSD за 4 часа
Апрель 2026: Anthropic не выпустил Claude Mythos Preview в публичный доступ — впервые в истории модель признана слишком опасной из-за кибер-возможностей

Цифры 2026: Claude Opus 4.6 Frontier Red Team — более 500 валидированных высококритических zero-day в open-source кодовых базах за несколько месяцев. Claude Mythos Preview — тысячи zero-day во всех major OS и браузерах. XBOW — 1060+ bug bounty отчётов за квартал. Big Sleep — первый автоматически найденный zero-day в истории public ML. Источники: red.anthropic.com, xbow.com.

Ключевое отличие от эпохи «AI как ассистент» (2023): теперь агенты находят ранее неизвестные уязвимости в production-коде, которые не находились годами человеческим анализом, фаззингом и статическим сканированием.

Архитектура современного агента (2026)

На апрель 2026 в индустрии устоялись 6 архитектурных паттернов. Рассмотрим типичный стек.

1. Planner — «мозг» агента

Reasoning-модель, принимающая решения о следующем шаге. Лидеры 2026:

o3 / o4-mini (OpenAI) — сильный reasoning, дорогой
Claude Opus 4.6 / Sonnet 4.6 (Anthropic) — лучшие результаты на Cybench (76.5%)
Gemini 2.5 Pro (Google) — сбалансированная цена/качество
GPT-5.4-Cyber (OpenAI) — специализированная fine-tuned модель для защитной кибербезопасности через программу Trusted Access for Cyber

2. Tool use — «руки» агента

Набор инструментов, подключаемых через function calling или MCP (Model Context Protocol, стандарт Anthropic с ноября 2024):

Разведка: nmap, subfinder, amass, whois
Web: Burp Suite API, sqlmap, nuclei, ffuf
Эксплуатация: metasploit, кастомные эксплойты
Post-exploitation: BloodHound, Impacket, CrackMapExec
Анализ кода: статический анализ, fuzzing (включая LLM-augmented)

MCP-паттерн — быстрорастущий стандарт начала 2026. Позволяет подключать любые инструменты к Claude Code или другим host-агентам без кастомной обвязки.

3. Memory — «знание» о ходе атаки

Два слоя памяти:

Семантическая: PostgreSQL + pgvector (паттерн PentAGI). Хранит факты — «на домене example.com обнаружен поддомен dev.example.com, на нём запущен Bitrix 18.5»
Эпизодическая: последовательность действий и их результатов. Позволяет агенту не повторять уже проверенное и строить длинные цепочки
Knowledge graph (Hindsight-паттерн): связи между сущностями, cross-encoder reranking для релевантности

4. Reflection loops — самоконтроль

После каждого шага агент оценивает результат и задаёт себе вопросы: «это то, что я ожидал? если нет — почему? как скорректировать план?» Без reflection агенты быстро уходят в тупиковые цепочки рассуждений.

5. Sandboxing — изоляция

Все команды выполняются в изолированном Docker-контейнере. Агент не может случайно атаковать что-то вне заявленного scope или навредить хост-системе. Это требование всех серьёзных реализаций — от PentestGPT до XBOW.

6. Multi-agent — специализация

Многие production-реализации используют несколько агентов с разными ролями: recon agent, exploitation agent, reporting agent. Координатор распределяет задачи. HPTSA (Hierarchical Planning + Task-Specific Agents) даёт 4,3x улучшение над monolithic-агентом на zero-day exploitation. D-CIPHER — 65% больше техник MITRE ATT&CK.

Реальные публичные находки 2024–2026

Ниже — задокументированные случаи. Без маркетинга, только то, что подтверждается публичными источниками.

Stack buffer underflow в SQLite Октябрь 2024 Google Big Sleep

Первый публично подтверждённый случай обнаружения AI-агентом ранее неизвестной эксплуатируемой memory-safety уязвимости в реальном широко используемом ПО. Уязвимость — out-of-bounds write при отрицательных индексах в функции seriesBestIndex. Исправлено в день сообщения. Метод — variant analysis: агенту дали коммит с патчем известной уязвимости и попросили найти аналогичные незакрытые паттерны.

1060+ bug bounty отчётов, #1 на HackerOne Апрель–июнь 2025 XBOW

За 3 месяца: 54 критических, 242 high, 524 medium, 65 low. 130 закрыто программами, 303 в статусе Triaged. Важная оговорка: все отчёты прошли ревью команды безопасности XBOW перед отправкой — это требование HackerOne по политике автоматизированных инструментов.

Game of Active Directory решён автономно Август 2025 Horizon3 NodeZero

GOAD — стандартный AD pentest-лабораторный сценарий, на котором экспертам обычно требуется 12–16 часов. NodeZero прошёл его за 14 минут полностью автономно. Первый AI, решивший GOAD end-to-end.

Blind SQL injection в Ghost CMS (CVE-2026-26980) Февраль 2026 Claude Opus 4.6, Anthropic Frontier Red Team

Ghost CMS — платформа для блогов с 50 000 звёзд на GitHub. Никогда не имела подтверждённых критических уязвимостей до этого. Claude за 90 минут нашёл blind SQL-injection в Content API, позволяющую неаутентифицированному пользователю скомпрометировать базу данных и создать аккаунт администратора. Дан был только простой промпт «Найди уязвимость» плюс VM со стандартными утилитами.

23-летний баг в ядре Linux + remote root в FreeBSD Февраль 2026 Claude Opus 4.6

Баг в ядре Linux, существовавший 23 года и пропущенный всеми статическими анализаторами, фаззерами, code review. Remote root exploit для FreeBSD — полностью автономно написан Claude за 4 часа. Часть серии 500+ zero-day, найденных Frontier Red Team Anthropic в production open-source проектах.

22 уязвимости в Firefox за один месяц Февраль 2026 Claude Opus 4.6

Больше, чем было найдено в Firefox за любой отдельный месяц 2025 года. По совместной публикации Anthropic и Mozilla.

XBOW: первый AI #1 на HackerOne

Самый известный пример 2025 года. Компания основана в январе 2024 в Сиэтле Oege de Moor — бывшим профессором информатики Оксфорда, основателем Semmle (разработчики CodeQL), поглощённого GitHub, и автором GitHub Advanced Security и GitHub Copilot. Со-основатель — Mike Horton, бывший инженер GitHub.

Финансирование

Seed: $20M от Sequoia
Series B: $75M, июнь 2025, лидирующий инвестор Altimeter
Series C: $120M, март 2026, лидирующие DFJ Growth и Northzone, оценка $1B+ (статус единорога)
Итого: ~$237M

Методология

Полностью автономный агент. Никакой специфической информации о целях заранее не предоставляется. XBOW самостоятельно выбирает цели из bug bounty программ HackerOne, проводит разведку, эксплуатацию и формирует отчёт. По собственному заявлению компании, 40-часовое ручное тестирование principal pentester выполняется за 28 минут.

Что это означает для индустрии

До XBOW автономные AI-агенты воспринимались как «курьёз, который работает на игрушечных CTF». После XBOW — как реальный инструмент, находящий реальные уязвимости в production-системах большого числа компаний и попадающий на вершину рейтингов.

Google Big Sleep: первый AI-найденный zero-day

Совместный проект Google Project Zero и Google DeepMind. Анонсирован в октябре 2024 как эволюция проекта Naptime (июнь 2024).

SQLite zero-day (октябрь 2024)

Stack buffer underflow в функции seriesBestIndex — out-of-bounds write при отрицательных индексах. Сообщено разработчикам в начале октября 2024, исправлено в тот же день, до официального релиза.

Методология — variant analysis

Агенту даётся коммит с патчем известной уязвимости SQLite. Задача — найти в текущей кодовой базе аналогичные незакрытые паттерны. Используются: отладчики, фаззеры, статический анализ. Базовая модель — Gemini 1.5 Pro, к 2025–2026 — Gemini 2.5 Pro.

Почему это важно: до Big Sleep фаззинг и статический анализ ловили подобные уязвимости в случайном порядке, а не через семантическое понимание кода. Big Sleep продемонстрировал, что LLM может искать конкретный класс багов целенаправленно, опираясь на пример ранее закрытого.

Эксперимент Carlini + Ghost CMS

Nicolas Carlini — известный исследователь, перешедший из Google в Anthropic в 2024 году. В феврале 2026 вместе с Frontier Red Team Anthropic опубликовал red.anthropic.com/2026/zero-days — отчёт об автономном поиске уязвимостей на production open-source проектах.

Условия эксперимента

Модель: Claude Opus 4.6
Окружение: VM со стандартными Linux-утилитами, отладчиками, фаззерами
Никаких специальных инструкций или харнесов
Промпт предельно простой: «найди уязвимость»

Ghost CMS — результат

Ghost — платформа для блогов, 50 000 звёзд на GitHub. На момент эксперимента не имела зарегистрированных критических уязвимостей за всю свою историю. Claude обнаружил blind SQL-injection в Content API за 90 минут. Уязвимость позволяла неаутентифицированному пользователю скомпрометировать БД и создать администраторский аккаунт.

Уязвимость присвоен идентификатор CVE-2026-26980. Опубликовано в GitHub Advisory.

Общие итоги эксперимента

500+ валидированных высококритических zero-day
23-летний баг в ядре Linux
Remote root для FreeBSD — написан автономно за 4 часа
22 уязвимости в Firefox за февраль 2026

Claude Mythos Preview и Project Glasswing

7 апреля 2026 — беспрецедентное событие в истории ML. Anthropic объявил о создании Claude Mythos Preview, экспериментальной модели с настолько развитыми кибернетическими возможностями, что её решено не выпускать публично. Источник: anthropic.com/glasswing.

Что умеет Mythos Preview

Нашла тысячи zero-day во всех major OS и браузерах
27-летняя уязвимость в OpenBSD — самый долгоживущий баг в истории этой ОС
16-летний баг в FFmpeg, переживший более 5 миллионов фаззинг-тестов

Project Glasswing

Консорциум из 12 компаний с контролируемым доступом к Mythos Preview для поиска и закрытия уязвимостей до того, как они будут эксплуатированы:

AWS, Apple, Broadcom, Cisco, CrowdStrike, Google
JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks
Anthropic

Simon Willison в блоге от 7 апреля 2026 назвал это «первой моделью controlled access to vulnerability research AI» — прецедентом нового формата выпуска.

Коммерческие продукты

Компания	Суть	Факты 2025–2026
XBOW	Полностью автономный агент наступательного пентеста	#1 HackerOne US, $237M привлечено, unicorn, оценка $1B+
Horizon3.ai (NodeZero)	Автономный пентест сетей	$100M Series C (июнь 2025); первый AI решил GOAD за 14 мин; 170 000+ пентестов без даунтайма; NSA CAPT программа — 50 000+ уязвимостей у подрядчиков МО США
Pentera	Adversarial Exposure Validation	Первый в категории $100M ARR; поглотила EVA Information Security и DevOcean (~$30M)
Dropzone AI	Автономный агент для SOC (Alert Triage)	$37M Series B, июль 2025; 90% Tier-1 тикетов закрывает автономно; время расследования 3–10 мин вместо 25
Mayhem (ForAllSecure)	AI-фаззинг	Победитель DARPA CGC 2016; поглощён Bugcrowd в ноябре 2025; основатель David Brumley стал Chief AI Officer Bugcrowd

Open-source проекты

Проект	Репозиторий	Что это
PentestGPT	GreyDGL/PentestGPT	Самый известный академический фреймворк. USENIX Security 2024 Distinguished Artifact Award. Решает 4 из 10 HackTheBox машин. Стоимость сессии ~$131
HackingBuddyGPT	ipa-lab/hackingBuddyGPT	Research-grade минималистичный фреймворк (~50 строк Python). SSH и локальный шелл, sandbox-выполнение
PentAGI	vxcontrol/pentagi	Использует PostgreSQL + pgvector для семантической памяти. Один из немногих с продвинутой memory-системой
AutoPenBench	arXiv:2410.03225	Open-source бенчмарк, 33 задачи от учебных до реальных CVE
Mayhem	mayhem.security	AI-фаззинг от ForAllSecure. Теперь часть Bugcrowd

Бенчмарки и соревнования

Бенчмарк	Результат AI	Дата
HackTheBox AI vs Human CTF (простые задачи)	95% (19/20), 5 из 8 AI-команд	Апрель 2025
HackTheBox AI-augmented vs human-only	27% vs 16% solve rate (3.2x)	Март 2026
Game of Active Directory	NodeZero: 14 мин vs 12–16 часов у экспертов	Август 2025
PicoCTF 2025	Claude: 297-е место из 10 460, 32 из 41 задачи, топ 3%	2025
Cybench (40 профессиональных CTF)	Claude Sonnet 4.5: 76.5% (10 попыток)	2025
GPT-4 one-day CVE с advisory (UIUC)	87%	Апрель 2024
GPT-4 one-day CVE без advisory	13%	Апрель 2024
GPT-5 CTF	27%	Август 2025
GPT-5.1-Codex-Max CTF	76%	Ноябрь 2025
AutoPenBench автономно	21%	2024
AutoPenBench с human-assist	64%	2024
PentestGPT на XBOW validation suite	86.5% (90/104), средняя стоимость $1.11	Апрель 2026
NYU CTF (CSAW)	Claude 3 превысил медианный человеческий балл	NeurIPS 2024

DARPA AIxCC: финал 2025

DARPA AI Cyber Challenge — двухлетнее соревнование с призовым фондом $29,5 млн. Финал состоялся на DEF CON 33 в августе 2025.

Победители

1-е место — $4 млн: Team Atlanta (Georgia Tech + KAIST + POSTECH + Samsung Research) — агент Atlantis, LLM-усиленный фаззер
2-е место — $3 млн: Trail of Bits — Buttercup
3-е место — $1,5 млн: Theori — Robo Duck

Результаты

54 синтетических уязвимости найдено из 63 задач
43 патча предоставлено автоматически
18 реальных уязвимостей в open-source проектах (6 в C, 12 в Java)
11 патчей для реальных уязвимостей

DARPA AIxCC доказал, что автономные агенты могут не только находить уязвимости, но и автоматически генерировать патчи. Это следующая стадия после простого обнаружения.

Ограничения AI-агентов

На апрель 2026 агенты далеки от совершенства. Честный разбор ограничений.

1. Pretend execution (воображаемое выполнение)

Задокументировано в EnIGMA paper (ICML 2025): агент иногда начинает воображать вывод команд вместо их реального выполнения. Строит цепочку рассуждений на фиктивном результате, принимает неправильные решения, выдаёт ложные находки. Защита — строгая валидация каждого шага и требование доказательства выполнения (stdout, skrin, код ответа).

2. GUI и нестандартные интерфейсы

Агенты 2026 по-прежнему плохо работают с веб-интерфейсами без API, нестандартными протоколами, кастомными десктопными приложениями. Анализ HackerOne показывает, что большинство AI-найденных уязвимостей — в стандартных веб-API и типовых паттернах.

3. Многошаговые сложные цепочки

На финале HackTheBox AI vs Human CTF в апреле 2025 AI решил 19 из 20 простых задач (95%), но на финальных многошаговых задачах все AI-команды существенно уступили людям. Агенты пока не справляются с цепочками, требующими смены парадигмы или creative exploitation.

4. Сильная зависимость от advisory

GPT-4 на one-day CVE с описанием из advisory — 87% успеха. Без advisory — 13% (исследование UIUC, 2024). Это означает: агенты хороши в воспроизведении и вариации известных паттернов, но слабы в обнаружении принципиально новых классов уязвимостей (без human-level понимания контекста).

5. Hallucinations в критичных ответах

Модель может уверенно описать «найденную» уязвимость, которой на самом деле нет. Для bug bounty программ это проблема — HackerOne в 2024–2025 ввели политики против AI-отчётов без человеческой верификации.

Экономика и стоимость

Цены моделей в апреле 2026

Модель	Input	Output
GPT-5.4 (OpenAI)	$2.50/M tokens	$15/M tokens
Claude Sonnet 4.6 (Anthropic)	$3/M tokens	$15/M tokens
Gemini 3.1 Pro (Google)	$2/M tokens	$12/M tokens

Реальная стоимость пентеста агентом

PentestGPT на HackTheBox (10 машин): ~$131 за сессию = ~$13 за хост
XBOW validation suite (одна задача): медиана $0.42, средняя $1.11
Agentic SOC triage: снижение стоимости на ~80% по данным Cloud Security Alliance
AI-assisted attack surface mapping: 40 минут вместо 4–6 часов

Главный сдвиг экономики: ручной пентест 40 часов у principal-пентестера по рейту $250/час — $10 000. AI-agent выполняет сопоставимую работу за $13–50 (стоимость токенов) + 1–2 часа человека на верификацию ($250–500). Итоговая экономия — 90–95% на рутинной части. Именно поэтому экономика AI-assisted пентеста принципиально иная.

Что меняется в 2026 и далее

Сдвиг парадигмы: AI как первичный сканер

До 2024: AI-ассистент помогает пентестеру. После 2025: AI выполняет первичную работу автономно, человек — на эскалации и сложных цепочках. HackTheBox фиксирует: AI-augmented команды — 27% solve rate против 16% human-only (март 2026).

Выпуск моделей становится политическим

Anthropic впервые в истории не выпустил мощнейшую модель (Claude Mythos Preview). Запустил Project Glasswing — модель controlled access. Это прецедент: индустрия признала, что cyber-возможности AI могут быть слишком опасны для публичного доступа.

Специализированные модели

OpenAI запустил GPT-5.4-Cyber — fine-tuned для защитной кибербезопасности. Программа Trusted Access for Cyber (TAC) ограничивает доступ верифицированными исследователями. Появление «специализированных безопасных» моделей — тренд 2026.

MCP как стандарт

Model Context Protocol (Anthropic, с ноября 2024) в 2026 стал де-факто стандартом подключения инструментов к агентам. Большинство новых пентест-агентов используют MCP-совместимые серверы вместо кастомных function-calling обвязок. Это упрощает интеграцию и снижает time-to-market для новых инструментов.

Консолидация индустрии

Bugcrowd купил Mayhem. Solar купил Digital Security. Pentera поглотила EVA Information Security и DevOcean. Индустрия консолидируется вокруг крупных игроков с AI-компетенциями.

Что это значит для России

Российские команды активно участвуют в международных bug bounty (Standoff 365 от Positive Technologies — 27 000 исследователей, 274+ млн ₽ выплат). Отечественные коммерческие AI-пентест-продукты пока отстают от американских, но активно развиваются: PT Dephaze (Positive Technologies) вышел в коммерцию в 2025. МЕТЕОР развивает IronAudit — AI-assisted пентест-сервис для российского рынка.

Связанные материалы: AI-assisted пентест: что это, как работает, сколько стоит, Prompt injection — основная угроза против самих агентов, MITRE ATLAS — как ATLAS v5.4.0 описывает атаки агентов.

FAQ

Что такое AI-агент как пентестер?

Автономная система, выполняющая задачи пентестера самостоятельно: разведку, гипотезы, эксплуатацию, отчёт. LLM в роли планировщика (o3, Claude Opus 4.6, Gemini 2.5 Pro) + инструменты через function calling или MCP + память (PostgreSQL+pgvector) + reflection + Docker sandbox. В 2026 агенты находят реальные zero-day и попадают на топ bug bounty рейтингов.

Какие реальные уязвимости нашли AI-агенты?

Big Sleep (Google, октябрь 2024) — первый zero-day в SQLite; Claude Opus 4.6 (февраль 2026) — Ghost CMS CVE-2026-26980 за 90 мин, 23-летний баг в Linux, remote root в FreeBSD за 4 часа, 22 уязвимости в Firefox; XBOW (июнь 2025) — 1060 bug bounty отчётов с 54 критических; NodeZero (август 2025) — решил GOAD за 14 мин.

Что такое XBOW?

Американская компания, основанная в январе 2024 Oege de Moor (экс-Semmle/CodeQL, GitHub). Полностью автономный пентест-агент. В июне 2025 — #1 US-лидерборд HackerOne, 1060 отчётов за 3 мес. К апрелю 2026 — $237M привлечено, unicorn с оценкой $1B+.

Из чего состоит архитектура AI-пентест-агента?

Planner (reasoning-модель: o3, Claude 4.6, Gemini 2.5) + tool use (nmap, Burp, sqlmap, nuclei через MCP) + memory (PostgreSQL+pgvector, knowledge graph) + reflection loops + Docker sandbox. 6 архитектурных паттернов: single-agent, multi-agent planner-executor, specialized roles, swarm, MCP-based, Claude Code native.

Что показывают бенчмарки AI-агентов?

HTB AI vs Human (апрель 2025): 95% на простых, уступают на многошаговых. Cybench: Claude Sonnet 4.5 — 76.5%. GPT-4 one-day CVE с advisory — 87%, без — 13%. GPT-5.1-Codex-Max CTF ноябрь 2025 — 76%. AutoPenBench: 21% автономно, 64% human-assist. DARPA AIxCC (август 2025): Team Atlanta, $4M, 18 реальных уязвимостей.

Сколько стоит запустить AI-пентест-агента?

PentestGPT на HackTheBox — ~$131 за сессию (~$13 за хост). XBOW validation suite: медиана $0.42 за задачу. Модели апрель 2026: GPT-5.4 $2.50/$15, Claude 4.6 $3/$15, Gemini 3.1 $2/$12. Agentic triage снижает стоимость на ~80%.

Что такое Claude Mythos Preview и Project Glasswing?

Mythos Preview (апрель 2026) — экспериментальная модель Anthropic с беспрецедентными cyber-возможностями. Нашла тысячи zero-day во всех major OS и браузерах, включая 27-летнюю уязвимость в OpenBSD и 16-летний баг в FFmpeg. Не выпущена публично — впервые модель признана слишком опасной. Project Glasswing — консорциум из 12 компаний (AWS, Apple, Google, Microsoft, Nvidia и др.) с закрытым доступом для поиска и закрытия уязвимостей.

Какие есть open-source AI-пентест-агенты?

PentestGPT (USENIX 2024) — самый известный, 4/10 HTB машин. HackingBuddyGPT — минималистичный research-grade. PentAGI — с продвинутой memory через PostgreSQL+pgvector. AutoPenBench — open benchmark. Mayhem — AI-фаззер, поглощён Bugcrowd в ноябре 2025.

Какие ограничения у AI-агентов?

Pretend execution (воображение вывода команд, EnIGMA ICML 2025). GUI и нестандартные интерфейсы. Многошаговые цепочки — на HTB финалах люди превосходят все AI-команды. Без advisory на CVE эффективность падает с 87% до 13%. Hallucinations в отчётах — HackerOne ввёл политики против неверифицированных AI-отчётов.

Заменят ли AI-агенты пентестеров полностью?

На апрель 2026 — нет, но парадигма меняется: от AI-ассистент пентестера к AI-первичный сканер, человек на эскалации. HTB март 2026: AI-augmented — 27% solve rate vs 16% human-only (3.2x). Anthropic Frontier Red Team — 500+ zero-day автоматически. Серьёзные вендоры единодушны: human-in-the-loop остаётся обязательным для верификации и оценки бизнес-рисков.

// История изменений

Апрель 2026: первая публикация. Актуальное состояние AI-пентест-агентов на апрель 2026: XBOW (#1 HackerOne, $237M, unicorn), Google Big Sleep (первый AI-zero-day в SQLite октябрь 2024), Claude Opus 4.6 + Ghost CMS CVE-2026-26980 (февраль 2026), Claude Mythos Preview и Project Glasswing (7 апреля 2026), NodeZero GOAD, DARPA AIxCC финал (август 2025, Team Atlanta $4M), коммерческие продукты (Horizon3, Pentera, Dropzone, Mayhem→Bugcrowd), open-source (PentestGPT USENIX 2024, HackingBuddyGPT, PentAGI), бенчмарки (HTB, Cybench, AutoPenBench, UIUC CVE-bench). Модели-лидеры: o3, Claude Sonnet 4.6 / Opus 4.6 / Mythos Preview, Gemini 2.5 Pro, GPT-5.4-Cyber. Источники: red.anthropic.com, xbow.com, Project Zero, DARPA, arxiv, appsecsanta.com/research/ai-pentesting-agents-2026.
Следующее обновление — июль 2026: результаты Project Glasswing, новые zero-day публикации, обновление бенчмарков.

Нужен AI-assisted пентест?

МЕТЕОР развивает IronAudit — AI-assisted пентест для российского рынка. Автономный ИИ-агент проводит разведку и находит уязвимости, специалисты верифицируют каждую находку. Быстрее и дешевле классического подхода.

IronAudit — аудит с ИИ Все статьи блога