Эксперты Solar 4RAYS сообщают о росте числа уязвимостей в веб-приложениях на 38% по сравнению с предыдущим кварталом. Впервые выделена категория AI-сервисов, где обнаружено 5% всех уязвимостей.
По данным центра расследования киберугроз Solar 4RAYS, в третьем квартале 2025 года было обнаружено 296 уязвимостей в веб-приложениях, что на 38% больше, чем в предыдущем квартале. Статистика основана на информации из открытых источников, включая каналы по информационной безопасности и статьи исследователей, и охватывает более 200 популярных продуктов.
Впервые была зафиксирована доля уязвимостей, связанных с AI-сервисами, которая составила 5%. Среди пострадавших платформ — Aibox, Liner, Telegai, Deepy и Chaindesk. Например, одна из уязвимостей в сервисе Ai2 Playground позволяла злоумышленникам получать доступ к перепискам пользователей с искусственным интеллектом. По мнению экспертов, рост числа таких уязвимостей может быть связан с распространением «вайбкоддинга» — генерации кода с помощью ИИ без последующей проверки. Большинство проблем в AI-сервисах не являются технически сложными и, вероятно, связаны с тем, что многие проекты еще находятся на стадии стартапа и не уделяют достаточно внимания безопасности.
Среди всех обнаруженных уязвимостей 81% имеют сетевой вектор, то есть эксплуатируются через такие протоколы, как HTTP или SSH. Доля уязвимостей высокой критичности в этой категории выросла на 7 % и составила 67%. Остальные уязвимости являются локальными и затрагивают операционные системы или приложения на устройствах пользователей.
9% уязвимостей пришлось на WordPress и его плагины. По 5% обнаружено в AI-сервисах и в сетевом оборудовании. Еще 2% уязвимостей найдено в библиотеках для Node.js. Остальные проблемы относятся к другому программному обеспечению и оборудованию.
«Многие уязвимости в AI-решениях были связаны с типичными клиентскими проблемами, такими как XSS (внедрение вредоносного кода в веб-страницу) и IDOR (получение доступа к внутренним объектам приложения при изменении идентификатора (ID) URL-запроса). Подобные уязвимости нередко возникают при использовании искусственного интеллекта для генерации кода без последующей тщательной проверки и тестирования, который в отрасли называют «вайбкодингом».
Сергей Беляев, аналитик Solar 4RAYS, ГК «Солар»
На момент публикации отчета большинство из обнаруженных уязвимостей уже устранено. Полученная информация будет использована для создания обновленных правил обнаружения атак в продуктах и сервисах группы компаний «Солар».