Нейросети теперь сами сносят файрволы: скрипт CyberStrikeAI в одиночку делает работу сотни живых взломщиков

Компания Team Cymru анализирует сетевой трафик на глобальном уровне, используя агрегированные данные NetFlow и результаты сканирования открытых портов. Такие данные позволяют видеть, какие IP-адреса устанавливают соединения друг с другом, какие сервисы запущены на узлах сети и какие устройства становятся целями массового сканирования или подозрительных обращений. По этим телеметрическим потокам аналитики пытаются находить инфраструктуру злоумышленников, отслеживать новые инструменты атак и понимать, какие системы выбирают в качестве целей.

Один из таких эпизодов привёл исследователей к инструменту CyberStrikeAI — открытому проекту, использующему механизмы искусственного интеллекта. Интерес к нему возник после публикации команды Amazon CTI, которая описала инфраструктуру злоумышленников, применявших ИИ в атаках, и указала связанный с ней IP-адрес 212.11.64.250.

Team Cymru проверила этот адрес в собственной системе Scout и в данных сканирования портов обнаружила на сервере характерный сетевой баннер CyberStrikeAI. Такой баннер обычно возвращает сервис, когда к нему подключаются по сети, поэтому по нему можно понять, какое программное обеспечение работает на узле.

Следующий шаг состоял в проверке, использовался ли этот сервер для реальных операций. Для этого аналитики изучили NetFlow-соединения — метаданные сетевого трафика, которые показывают, какие узлы устанавливают связь друг с другом. Эти данные указали на обращения к устройствам Fortinet FortiGate. Такие системы часто стоят на границе корпоративных сетей и выполняют роль межсетевых экранов и VPN-шлюзов, поэтому они регулярно становятся объектом разведки и попыток эксплуатации.

Сам инструмент CyberStrikeAI распространяется через GitHub. В описании проекта разработчик указывает, что платформа написана на языке Go и объединяет более ста инструментов для тестирования безопасности. Архитектура включает движок оркестрации, который управляет последовательностью операций, ролевую модель тестирования с заранее заданными сценариями и систему навыков, позволяющую подключать специализированные методы проверки. Платформа также содержит веб-панель, где оператор видит состояние системы и может управлять запуском задач.

По сути CyberStrikeAI пытается автоматизировать процесс наступательного тестирования: объединить множество утилит, запускать их по заранее заданным сценариям и анализировать результаты. Такой подход особенно удобен для массовых операций — например, для поиска уязвимых сетевых устройств или для проверки больших диапазонов адресов.

Отдельное внимание исследователи уделили разработчику проекта, который использует псевдоним Ed1s0nZ. В его GitHub-аккаунте обнаружилось несколько других проектов, связанных с поиском уязвимостей и повышением привилегий. Среди них PrivHunterAI — инструмент, который через пассивный прокси и API популярных ИИ-моделей пытается выявлять уязвимости повышения привилегий. Другой проект, InfiltrateX, также связан с автоматизированным поиском таких уязвимостей.

Аналитики также заметили активность разработчика в экосистеме организаций, которые, по данным различных исследований, сотрудничали с китайскими государственными структурами в сфере киберопераций. Например, в декабре 2025 года Ed1s0nZ разместил CyberStrikeAI в проекте Starlink Project, связанном с Knownsec 404. По публикациям исследовательских компаний, Knownsec сотрудничала с китайскими силовыми ведомствами и структурами, связанными с Министерством государственной безопасности.

Ещё одна деталь появилась в январе 2026 года. В профиле разработчика на GitHub была добавлена запись о награде за участие в программе поиска уязвимостей CNNVD — китайской национальной базы данных уязвимостей. Эта система управляется организацией CNITSEC и находится под надзором Министерства государственной безопасности. Ранее исследователи отмечали, что подобные программы могут использоваться для сбора уязвимостей до их публичного раскрытия. Позже упоминание этой награды исчезло из профиля разработчика.

Анализ активности вокруг CyberStrikeAI показал и рост числа установок платформы. Первый коммит в репозитории появился 8 ноября 2025 года, и в первые недели система почти не встречалась в сети. Однако с 20 января по 26 февраля 2026 года аналитики обнаружили уже 21 уникальный IP-адрес, на которых работал этот инструмент. Такая динамика говорит о довольно быстром распространении проекта после первоначальной публикации.

По географии большинство серверов, где запускали CyberStrikeAI, находились в регионах с китайскоязычной инфраструктурой — в Китае, Сингапуре и Гонконге.

Team Cymru считает, что интерес к подобным платформам будет расти. CyberStrikeAI объединяет множество инструментов и пытается автоматизировать их работу через механизмы ИИ и оркестрации. По мере того как такие системы становятся доступнее, сложные операции — поиск уязвимых устройств на периметре сети, разведка инфраструктуры или попытки повышения привилегий, могут выполняться быстрее и требовать меньше ручной работы.

В исследовании отмечают, что уже сейчас наблюдаются признаки автоматизированного нацеливания на сетевые устройства вроде Fortinet FortiGate. Если такие платформы получат широкое распространение, атакующие смогут быстрее масштабировать разведку и эксплуатацию уязвимостей. Поэтому защитным командам рекомендуют внимательнее отслеживать сетевые аномалии и учитывать, что инструменты с элементами ИИ постепенно становятся частью арсенала киберпреступников.