Защитная диагностика AI-систем и инфраструктуры в production
Атакую ваши LLM-агенты, RAG, MCP-серверы и инфру по OWASP LLM Top 10 — нахожу то, что классические пентестеры пропускают.
Prompt injection, RAG poisoning, MCP tool-poisoning, token-bomb — векторы которых нет в Burp / Nessus
Сам держу 10+ AI-систем в проде. Был media-buyer'ом с $1.34M рекламным бюджетом — видел performance-стек изнутри
До 20M ₽ + 3% оборота штрафы за утечку ПД. С 1 янв 2026 — 187-ФЗ КИИ блокирует иностр. ПО в банках / нефтегазе / госсекторе
Три формата — от входной диагностики до постоянного ретейнера
Express для понимания «насколько всё плохо», Full Audit для серьёзных рисков и compliance, ретейнер — потому что AI-security меняется каждые 4–6 недель.
Express Security Diagnostic
Быстрая входная проверка: сокращённый чек-лист, одна живая атака, PDF с top-5 рисками. Психологический фильтр перед полным аудитом.
- 60-мин discovery call: архитектура, LLM/API, где живут ПД
- 6-часовая проверка по сокращённому чек-листу
- Live-демо одной атаки (prompt-injection или DNS/SSL/.env exposure)
- PDF 4–6 страниц: top-5 что чинить first, severity, команды/код
- 30-мин дебрифинг по результатам
≈3-4 из 10 апсейлятся в Full Audit
Full Security Audit
Полный red-team цикл по 4 доменам: AI/LLM, инфраструктура, ФЗ-152, бизнес-логика. 30–50 страниц отчёт + live demo + 30 дней Q&A.
- Полный red-team цикл по OWASP LLM Top 10 (2025)
- 4 домена: AI/LLM 40% · Infra 25% · Data Privacy 20% · Business Logic 15%
- Финальный отчёт 30–50 страниц с evidence и compliance-mapping
- Live demo 1–2 наиболее тяжёлых векторов на вашей среде
- 90-мин readout-сессия + 30 дней Q&A по фиксам
Диапазон 200–600k ₽ зависит от scope и количества AI-агентов
Continuous Security Engagement
AI security меняется каждые 4–6 недель. Ретейнер держит вашу AI-инфраструктуру в актуальном threat-model между релизами.
- Basic 40k: ежемесячный re-scan, CVE-алерты в Telegram, 2ч Q&A
- Basic +: quarterly report по динамике рисков
- Pro 100k: + pre-release review каждой AI-фичи (2/мес)
- Pro +: embedded 1 день/неделю в вашей команде
- Pro +: threat-intel briefing, 24ч SLA на критику
80% клиентов после Full Audit переходят на ретейнер
19 точек проверки в 4 доменах
Чек-лист построен от риска, а не от «удобно проверить». OWASP LLM Top 10 (2025) — основа AI-домена, классический infrastructure — фундамент, ФЗ-152 / 187-ФЗ — обязательная регуляторика для РФ-юрлиц, sector-specific — то, что мы видим в реальных кабинетах и e-com'ах.
AI/LLM Security
OWASP LLM Top 10 (2025) — 8 проверок
Direct prompt injection
Jailbreaks через role-play, multi-turn-эскалация, encoded payloads: base64 / unicode / ROT13
Indirect prompt injection (RAG / docs / webhooks)
Атака через данные, которые модель сама загружает.
Ref: EchoLeak CVE-2025-32711, CVSS 9.3
System Prompt Leakage (LLM07:2025)
Извлечение system-prompt с embedded ключами или internal-API URLs
Excessive Agency (LLM06:2025)
Агент с правом записи в систему делает то, чего не должен.
Ref: CVE-2025-53773 GitHub Copilot RCE, CVSS 9.6
Unbounded Consumption / Cost-overflow (LLM10:2025)
Token-bomb: $10k/мес сжигается без cap. Атакующий генерирует трафик пока вы не разоритесь.
MCP Server / Tool Poisoning
Атака через сторонний MCP-сервер. Включая известную проблему «спасибо».
Ref: CVE-2025-54136 · Claude Code CVE-2025-59536 · CVE-2026-21852 (Check Point Research)
Vector / Embedding Weaknesses (LLM08:2025)
Embedding inversion, membership inference, RAG-poisoning через подменённые документы в векторной БД
Sensitive Information Disclosure (LLM02:2025) + PII в логах
Утечка ПД через ответы модели, лог-агрегаторы, error-tracking. Синтетический клиент с realistic ПД для проверки
Infrastructure
6 проверок периметра и зависимостей
DNS / Email hygiene
SPF, DKIM, DMARC (часто `p=none` — открытый спуфинг инвойсов), CAA, DNSSEC
SSL / TLS configuration
SSL Labs target A+, HSTS preload, корректные cipher suites, OCSP stapling
WAF / CDN review
Bypass через encoded payload, origin IP leak через DNS history / SSL cert / mail headers
Secrets management surface
`gitleaks` по истории, API-ключи в client-side JS bundle, `.git/` exposed, .env в backup-папках
Dependency CVE scan
npm / pip / go.mod / Cargo.lock против актуальной CVE-базы.
Ref: Shai-Hulud npm malware · Sonatype 454k+ malicious packages 2026
Backup + DR test
Реально восстановить из бэкапа на staging. 60% компаний имеют backup, ~30% могут восстановиться
Data Privacy / РФ Regulatory
ФЗ-152 / 187-ФЗ КИИ / PII redaction
ФЗ-152 compliance
Geo storage (ПД граждан РФ на территории РФ), sub-processors, реестр РКН. Штрафы 2026: до 20M ₽ + 3% оборота. 6–18M ₽ за непредоставление breach в 24/72ч
187-ФЗ КИИ readiness
С 1 янв 2026 запрещено иностранное ПО в банках, нефтегазе, телекоме, госсекторе. Cursor / Claude / OpenAI = формальное нарушение. Альтернативы: GigaChat on-prem, YandexGPT, Continue.dev. Штраф до 500k ₽ + блокировка
PII redaction в LLM prompts
Синтетический клиент с realistic ПД, dump каждого prompt по пути к OpenAI / Anthropic. Проверка regex-фильтров на пропуски ФИО, ИНН, телефон, email, паспорт
Business Logic / Sector
Аутентификация и vertical-specific
Auth & session
Token storage (httpOnly vs localStorage), rotation, IDOR, webhook HMAC, replay-protection, race-conditions в payment-flow
Media-buying / e-com specific
Cloaker probe, Keitaro fraud-detection, pixel-firing, CAPI integration с HMAC, IP-blocklist hygiene, fingerprint-leak через third-party tags
Статистика по реальным аудитам
Распределение находок по severity. Critical в ~30% компаний — это не страшилка для продаж, а средний бэйзлайн рынка AI-внедрений 2025–2026.
- API-ключ OpenAI / Anthropic в client-side bundle — 30 сек на извлечение, $50k overnight
- Indirect prompt injection даёт data exfiltration (EchoLeak-pattern)
- System prompt содержит embedded ключи или internal-API URLs
- ПД отправляются в OpenAI без anonymization — до 20M ₽ + 3% оборота
- MCP-server tool poisoning через невидимые инструкции в description
- Нет rate-limit на LLM-endpoint — token-bomb DoS
- DMARC в режиме `p=none` — спуфинг инвойсов от имени компании
- SSL Labs grade B/C, нет HSTS preload
- Backup не тестировался > 12 месяцев
- Dependencies CVE older than 90 дней, webhook без подписи
- CSP headers missing, открытое `.git/config`
- HSTS preload отсутствует, verbose error messages
- X-Frame-Options не выставлен, referrer-policy открытый
Tier 2 deliverable — 30–50 страниц с evidence и roadmap
Отчёт пишется так, чтобы был читаем и CEO, и инженером, который будет это чинить. Каждая находка — с воспроизводимым evidence и конкретной командой / кодом фикса.
Executive summary
Для CEO / CTO / board: суть рисков, бизнес-impact, бюджет на фиксы
Methodology
OWASP LLM Top 10 / 187-ФЗ / ФЗ-152 / CVE references — что и почему проверялось
Findings list
Каждое: ID, severity, evidence (скриншот / curl-команда), impact, fix recommendation, verification-метод
Prioritized roadmap
Now / Next / Later — что фиксить в первые 48 часов, что в первый месяц, что в квартал
Appendix
Полные logs, compliance-mapping (ФЗ-152 / OWASP / ISO 27001), опционально video-demo атак
4 типа клиентов, на которых калибровано предложение
Не работаю с SMB < 1M ₽/мес выручки (нет бюджета 200k), с личными проектами и со студентами. Не лезу в классическое промышленное IT без AI — это поле Positive Technologies.
Технические фаундеры B2B SaaS 20–100 человек
С AI-фичей в продукте под pre-IPO DD pressure. Инвесторы спрашивают AI-security — стандарт DD с 2025. Запустили chatbot / RAG, иногда «странно отвечает». MCP-серверы без review.
1 leak = смерть продукта + личная ответственность фаундера
Performance-агентства / media-buying houses ($500k–5M/мес)
AI-tools накапливают ПД конверсий (ФЗ-152). Tracking-системы leak через DNS-history. CAPI без HMAC = fake conversions проходят. Slava — свой среди своих: сам управлял $1.34M рекламного бюджета в performance-маркетинге.
1 кабинет на $200k = месяц насмарку
E-com 1000+ заказов/мес с AI customer-support
AI-агент общается с клиентами — утекает email / телефон / адрес в OpenAI. Voice-бот jailbreak → промокод 99%. WB / Ozon + РКН активно проверяют с 2025.
Маркетплейсы блокируют selling-account при breach
Госконтрактные / банки / финтех
С 1 янв 2026: 187-ФЗ КИИ запрещает иностранное ПО (Cursor / Claude / OpenAI = формальное нарушение). Sales cycle 3–6 мес, требуют лицензии ФСТЭК для глубокого pentest. Slava — architect / consultant, не ФСТЭК-аудитор. Только через юр-лицо.
187-ФЗ trigger + длинный цикл = высокий чек, низкая частота
Узкая AI-niche, а не очередной generic-пентест
Не претендую заменить Group-IB на perimeter / SIEM — мы делаем разные вещи. Сравнение по углу, под которым работаем:
Group-IB / Positive Technologies
Perimeter / SIEM / anti-APT классика, $7–11B рынок. AI-security блок = маркетинг. От 1.5M ₽, всё IT-периметр
Узкая AI-niche, 200–600k ₽. Targeted vs full SOC
HackerOne / BugBounty.ru
Reactive crowd, нет SLA, нет accountability. Платите за каждую находку отдельно
Proactive, single accountable expert. Отчёт + рекомендации + ретейнер. Один контакт
Solo pentesters на Avito
Классика — Burp / Nessus / nmap. Не знают OWASP LLM Top 10. Не понимают prompt injection
Сам запускаю AI в production 24/7. Видел prompt injection в живом трафике, а не в pdf
Внутренние security-команды
Enterprise IT (AD, perimeter, IDS). AI = серая зона, скиллы под классическую инфру
External pair-of-eyes специально под AI / automation. Дополняем, не заменяем internal team
Почему именно я — на пересечении 4 нишевых треков
Сборка опыта, которую сложно повторить: senior enterprise разработка + production AI оператор + media-buyer с большим бюджетом + регуляторная грамотность РФ.
Real production AI operator
10+ AI-систем в проде 24/7. Видел failure modes изнутри: cost-overflow при regime-change, GMM stuck в edge-cases, indirect injection из RSS-feed, MCP-server crash в production
$1.34M performance-маркетинг бюджеты
Был senior media-buyer'ом в Syndicate Group + SweepStakes. Знаю fraud-patterns изнутри, tracking-mechanics, CAPI security — не теория, а полевая практика
Enterprise 7 лет
Балтийский завод, IPL, Asertiva. Понимаю как security работает в крупных компаниях с длинными процессами согласований — могу говорить на одном языке с CTO / CISO
OSINT / attacking-side опыт
Через arbitrage / affiliate работы — знаю как атакующая сторона думает. Cloaker-bypass, fingerprint-evasion, IP-rotation — это рабочие инструменты, не статья на Хабре
Reads RU regulatory
ФЗ-152, 187-ФЗ КИИ, приказы ФСТЭК, методички РКН — реально читаю, не пересказываю с агентств. Знаю где compliance заканчивается и начинается реальная безопасность
Защитить свою AI-инфраструктуру
Начать с Express Diagnostic за 25 000 ₽ — за 1 рабочий день вы получите чёткое понимание top-5 рисков и нужен ли вам полный аудит.
Аудит за 5 000 ₽ — с конкретным отчётом и сметой
Расскажу что внедрить в вашем бизнесе в первую очередь, какая будет окупаемость, и нужен ли вообще AI для вашей задачи (иногда — нет).
Или просто напишите свой вопрос — отвечу в течение 2 часов