89% фишинговых доменов живут меньше двух дней, а 45% сотрудников уже регулярно используют AI-инструменты на рабочих устройствах. На этом фоне безопасность браузера перестает быть нишевой темой для SOC и становится вполне земной задачей для разработчиков, продуктовых команд и IT-руководителей: именно в браузере теперь сходятся и AI-атаки, и теневой ИИ внутри компании.
Как пишет BleepingComputer, в центре этой истории сразу две проблемы. Первая: злоумышленники используют генеративный ИИ для ускоренной сборки и доработки фишинговых наборов, приманок и инфраструктуры. Вторая: сотрудники гораздо быстрее внедряют AI-сервисы, чем служба безопасности успевает их проверять. Итог предсказуемо неприятный: конфиденциальные данные уходят через вставку в LLM, OAuth-доступы выдаются AI-агентам почти на доверии, а браузерные расширения с AI-функциями ставятся по принципу «вроде удобно, потом разберемся».
В материале Push Security, опубликованном на BleepingComputer, главный тезис звучит довольно жестко: классические средства защиты все хуже видят то, что реально происходит в сессии браузера. Это особенно заметно на примере фишинга. По данным Spamhaus, которые приводит издание, почти девять из десяти фишинговых доменов исчезают менее чем за двое суток. Для команд, которые полагаются на blocklist и IoC-фиды, это означает неприятную вещь: каждая новая атака почти автоматически становится одноразовым «нулевым днем». Домен еще не попал в репутационные списки, ссылка выглядит правдоподобно, а страница уже успела отработать по жертве и переехать на новый адрес.
Ситуацию усугубляет то, что атаки все чаще приходят не через почту. Push Security утверждает, что примерно каждый третий фишинговый payload доставляется через другие каналы: вредоносную рекламу, соцсети, SEO poisoning и поисковую выдачу. Для техники ClickFix цифра еще жестче: четыре из пяти полезных нагрузок приходят именно через результаты поиска. Если коротко, то почтовый шлюз продолжает доблестно охранять дверь, пока злоумышленники давно лезут через окно браузера. Отдельно в статье описан сценарий LLMShare, где атакующие использовали легитимные ссылки общего доступа на chatgpt.com и продвигали их через рекламные объявления в поиске. По одному только URL отличить подставу там действительно трудно.
Есть и более специфический, но очень показательный тренд: рост device code phishing. Речь о злоупотреблении легитимным OAuth-потоком, который позволяет обходить MFA и passkeys не за счет взлома криптографии, а за счет манипуляции пользователем и процессом авторизации. По данным Push Security, в 2026 году в дикой природе уже отслеживается более 18 наборов для таких атак, а число детекций выросло в 37 раз. В статье также упоминаются ClickFix, InstallFix, ConsentFix, а среди групп, работавших с подобными панелями и производными наборами, названы ShinyHunters и BlackFile. Важный вывод здесь не в экзотических названиях, а в другом: логика атаки все чаще живет целиком внутри браузерной сессии, не оставляя привычных артефактов на endpoint.
Но у этой истории есть вторая половина, не менее болезненная для бизнеса. По данным Verizon DBIR 2026, которые приводит BleepingComputer, 45% сотрудников уже регулярно пользуются AI-сервисами на корпоративных устройствах, причем 67% делают это через некорпоративные аккаунты. Телеметрия Push Security добавляет еще несколько цифр: в средней организации насчитывается 16 уникальных AI-приложений, 17 AI-расширений для браузера и 17 OAuth-интеграций, связанных с AI, причем большинство из них не одобрены безопасниками. Еще один показатель выглядит особенно показательно: 38% загрузок файлов в AI-инструменты идут из личных, а не из организационных аккаунтов. То есть компания может купить корпоративный тариф, настроить аудит и DLP, а сотрудники все равно будут носить данные в соседнее окно браузера, где никакого корпоративного аудита уже нет.
Отсюда и практический смысл разговора про безопасность браузера. Браузер видит, какие AI-сервисы открываются, под каким аккаунтом в них входят, какие расширения получают доступ к контексту страниц, какие OAuth-разрешения одобряются и какие файлы или фрагменты текста уходят наружу. Для разработчиков и продуктовых команд это означает, что контроль нужно строить не только вокруг endpoint и SaaS-периметра, но и вокруг пользовательской сессии. Для IT-директоров и CISO вывод еще менее комфортный: управление AI теперь нельзя свести к списку «разрешенных сервисов». Нужна видимость фактического использования, иначе теневой ИИ быстро превращает любые корпоративные политики в красивый PDF, который никто не открывает.
В статье приводят и пример того, к чему приводит слабый контроль за OAuth и сторонними AI-сервисами: инцидент Vercel 2026 года, где компрометация внешнего AI SaaS-провайдера и его OAuth-интеграции стала точкой входа в корпоративный tenant Google Workspace. В том же ряду упомянуты прошлогодние кампании ShinyHunters против Salesloft Drift и Gainsight. Для российских команд это не экзотика из чужих новостей, а вполне прикладной сценарий: чем активнее компании подключают AI-агентов, MCP-связки и браузерные ассистенты к CRM, почте, документам и внутренним сервисам, тем больше решений о доступе принимается прямо в браузере и тем дороже становится отсутствие нормальной телеметрии.
Главный вопрос теперь не в том, станет ли браузер новым контуром защиты, а в том, успеют ли компании перестроить безопасность до того, как AI-агенты и фишинг на базе LLM окончательно сольются в одну операционную реальность. Судя по цифрам из материала BleepingComputer, этот переход уже начался, и спорить тут можно разве что о сроках.