Учора Anthropic анонсував Claude Code Security — нову функцію, яка сканує кодові бази на вразливості та пропонує патчі. За словами компанії, модель Claude Opus 4.6 вже знайшла понад 500 вразливостей у продакшн-коді відкритих проєктів. Не за правилами, не за патернами — а так, як це робила би людина-дослідник: аналізуючи потоки даних, логіку взаємодії компонентів, контекст.
Ринки відреагували панікою. CrowdStrike впав на 8%. Cloudflare — на 8,1%. Okta — на 9,2%. SailPoint — на 9,4%. Кібербезпековий ETF Global X закрився на найнижчому рівні з листопада 2023 року. Bloomberg, Yahoo Finance, Seeking Alpha — всі написали про «загрозу AI для індустрії кібербезпеки».
Це демонструє глибоке нерозуміння масами як ШІ, так і кібербезпеки.
Кібербезпека — це не (лише) про вразливості
Аналітики Barclays вже наступного дня заявили, що розпродаж не має сенсу: Claude Code Security — це інструмент для розробників, а не конкурент CrowdStrike чи Palo Alto. І вони праві. Але проблема не в цьому.
Проблема в тому, що ринок — як і більша частина індустрії — мислить про кібербезпеку через призму вразливостей та експлойтів. Знайшов і виправив баг → заблокував експлойт → захистився. Це зручна, лінійна, продавана модель. І вона глибоко хибна.
У кібербезпеці всі захисники досліджують нападників через аналітичну лінзу тактик, технік та процедур — TTP. Ніхто не говорить про стратегію: S in TTP stands for Strategy. І в цьому корінь проблеми, адже як влучно підмітив Метью Монте, «Головна причина постійних поразок [захисників] — повсюдне невизнання того, що у нападника є стратегія.»
KICRF 2026
Буквально вчора я виступав на KICRF у сегменті AI-Native Warfare. Іронія в тому, що моя доповідь не мала жодного стосунку до штучного інтелекту. Вона була про Offence Death Cycle (ODC) — операційний фреймворк для захисту від APT, побудований на теорії кіберперсистентності Фішеркеллера, Голдман та Гаркнетта.
Ключова ідея CPT: кіберпростір — це середовище постійного контакту між акторами, де безпека визначається не стримуванням, а утриманням ініціативи. Ініціатива — спірна: її можна захопити, втратити і перехопити знову. ODC перетворює цю стратегічну логіку на практичний цикл: Intelligence → Induced Friction → Anticipation — і по колу. Замість лінійної моделі «виявив → відреагував → полатав», захисник постійно змінює середовище, примушуючи нападника адаптуватися швидше, ніж він здатен.
Як показує Метью Монте у «Network Attacks and Exploitation», наступальні кібероперації — це не одиничні атаки, а організаційні процеси з соціальними та технічними залежностями, які функціонують у сконструйованому середовищі. Хто контролює це середовище — той контролює темп і вартість операцій нападника. Думку підсилює Макс Смітз, описуючи модель побудови державних кіберспроможностей формулою PETIO: People + Exploits + Tools + Infrastructure + Organisation.
Моя доповідь зводилася до однієї тези: захист від просунутих загроз — це не про вразливості, експлойти, інструменти чи навіть тактики. Це про стратегію. У нападників є стратегія — вони мислять категоріями операцій, кампаній, довгострокового контролю. А захисники мислять категоріями інцидентів, алертів і патчів. Нападники грають у шахи, захисники грають у whack-a-mole.
Зверніть увагу: саме це показує паніка ринку. Anthropic анонсував інструмент, який краще шукає баги в коді — і всі вирішили, що кібербезпека більше не потрібна. Ніби вся кібербезпека — це пошук багів.
CyCon 2026
До речі, вчора ж ми з Денисом Ящуком отримали підтвердження прийому нашої статті на CyCon 2026. Стаття називається «Rethinking Exploitation in Cyber War» і підсумовує дослідження реальної ролі програмних експлойтів у воєнних кіберопераціях.
Цифри красномовні, але ми притримаємо їх до травня, коли відбудеться наш виступ та публікація статті. Але якщо коротко, то ми проаналізували десятки інцидентів та опитали десятки практиків, щоб отримати контрінтуїтивний для індустрії результат: експлойти становлять скромну частину арсеналу кібероператорів. А з тих випадків, де експлойти таки використовувались, переважна більшість були відомими вразливостями, а не zero-day.
Перефразовуючи Михайла Федорова, «роль вразливостей дещо переоцінена». Наші дані це підтверджують емпірично.
Що буде насправді
Безпековий ринок не вмре. Він стане іншим.
Ми проходимо економічну трансформацію, яка може бути впливовішою за індустріальну революцію. Селяни не зникли — вони скоротили свою чисельність і стали в сто разів ефективнішими, вивільнивши людський ресурс для нової індустріалізованої економіки.
Так буде і з безпекою. Тренд наразі незмінний: як і в кодуванні, дизайні, маркетингу чи фінансах, ШІ дає перевагу швидкості, обізнаності та ефективності тим, хто і так є експертом. Хто може поставити задачу, обґрунтувати її, пояснити, як виглядає результат, а головне — навіщо його досягати.
Так, Claude Code Security знайде баги краще за SAST-сканер. Так, AI-агенти автоматизують рутинний аналіз вразливостей. Але APT-групи не зламують організації через баги у коді. Вони зламують організації, бо мають стратегію, ресурси, терпіння та адаптивність. І проти цього потрібен не сканер — потрібна контрстратегія.
Наше дослідження для CyCon показує це прямо: «sophistication» кібероперацій — це не технічна складність експлойту. Це якість оперативного планування, координації, розвідки та інтеграції кібероперацій з іншими доменами. Кібервійна — це не технічне змагання. Це стратегічне змагання, що ведеться технічними засобами.
Я вірю в те, що ШІ зробить інтернет вільнішим від помилок програмістів. Але захищатися треба не від вразливостей та експлойтів — а від організацій, які намагаються наполегливо перехопити ініціативу та контроль над вашими інфраструктурами. Від цього не захистить жоден сканер, ані людський, ані штучний.
До винайдення динамічних моделей ШІ, які зможуть самостійно навчатися — тобто добудовувати «мапу» розуміння світу, «забувати» непотрібні її шматки, а можливо й здобудуть свідомість — у цьому світі залишатиметься місце для людини з її вадами та талантами. Просто не для кожної.