Террористические группы используют ИИ-чатботы: что это значит для безопасности ИИ
Полевое исследование CASP показывает, что LLM стали практичным инструментом для террористических групп. Разбираем риск без операционных деталей.
ИИ-чатботы и терроризм больше нельзя обсуждать только как гипотезу из отчётов по рискам. По состоянию на 12 июля 2026 года есть полевое исследование Cambridge Programme on AI Science & Policy: 57 интервью с 27 бывшими участниками Boko Haram показывают, что общедоступные LLM уже используются не только для пропаганды, но и для организационных и технических задач внутри вооружённых групп.
Главная новость здесь не в том, что чатбот «придумал новую угрозу». Исследование показывает более приземлённую и потому неприятную вещь: генеративный ИИ снижает порог доступа к знаниям, ускоряет поиск ответов и помогает группам быстрее оформлять то, что раньше требовало людей с опытом. Для безопасности ИИ это важнее заголовков про «супероружие».

Что выяснило исследование CASP
Отчёт CASP написала Antonia Jülich, International Security Lead в программе AI Science & Policy Кембриджского университета. Интервью проводились в 2025 и 2026 годах на северо-востоке Нигерии. По словам автора, это первая работа с полевыми свидетельствами об использовании ИИ активной террористической организацией, а не только сторонниками в онлайн-каналах.
Коротко, без операционных деталей:
- часть бывших участников Boko Haram описала использование передовых чатботов, включая ChatGPT, Claude, Gemini, Grok, Meta AI и DeepSeek;
- использование вышло за рамки пропаганды: речь идёт о планировании, разборе ошибок, организационной безопасности и технических консультациях;
- по данным интервью, обе фракции Boko Haram встроили ИИ в рабочие процессы и создали выделенные группы вокруг этой темы;
- часть знаний передавалась через более широкие джихадистские сети, а не возникла изолированно внутри одной группы;
- сами участники воспринимали ИИ как усилитель возможностей, хотя это не доказывает точный масштаб реального прироста.
Последний пункт важен. Исследование основано на интервью, то есть на самоотчётах бывших участников. CASP прямо пишет, что отдельные утверждения не всегда можно независимо проверить, а текущая ситуация могла измениться: описанные эпизоды в основном относятся к 2023-2025 годам, тогда как модели и защитные механизмы за это время обновлялись.
Почему это не история про «ИИ-супероружие»
Самый плохой способ читать эту новость — решить, что LLM внезапно создали новый класс терроризма. Более точная рамка другая: ИИ помогает уже существующим группам быстрее искать, переводить, структурировать и проверять информацию. Это не отменяет опасность, но меняет её природу.
Combating Terrorism Center at West Point в майском обзоре 2026 года приходит к похожему выводу: генеративный ИИ, скорее всего, усиливает уже знакомые процессы — пропаганду, вербовку, разведку, подготовку и поддержку операций, — но пока мало доказательств, что он радикально меняет саму природу терроризма. CSIS в июльском разборе формулирует это ещё короче: эффект будет скорее накопительным, чем революционным.
Это не успокаивающий вывод. Накопительный эффект может быть опаснее громкой фантастики: меньше времени на подготовку, меньше зависимости от редких специалистов, больше масштабирование через дешёвые коммерческие инструменты. Террористическим группам не нужно изобретать передовую модель. Им достаточно использовать то, что уже доступно миллионам людей.
Почему фильтры не закрывают проблему полностью
Здесь сознательно не пересказываются способы обхода защит и не приводятся примеры промптов. Для публичной статьи достаточно общего вывода: фильтры и правила безопасности снижают риск, но не превращают LLM в непроницаемый контур, особенно если речь идёт не об одиночном пользователе, а об организованной группе с временем, мотивацией и обменом опытом.
DW 11 июля 2026 года привёл свежий контекст от Tech Against Terrorism: в отдельном тесте исследователи отправили более 2300 запросов к 27 моделям и получили «практически полезные» ответы примерно в 32% случаев; при маскировке запроса под исследовательский контекст доля выросла до 42%. Эти цифры не надо напрямую переносить на отчёт CASP, но они показывают тот же системный изъян: формальная политика модели и реальное поведение под давлением не всегда совпадают.
Отсюда главный вывод для разработчиков: проверять нужно не только «запрещает ли модель очевидный вредный запрос». Нужно тестировать сценарии организованного злоупотребления, цепочки запросов, перенос знаний между пользователями, работу на разных языках и ситуации, где опасная цель спрятана внутри нейтральной задачи.
Что это значит для разработчиков ИИ
Если верить CASP, проблема не сводится к одному продукту или одной компании. В отчёте перечислены разные популярные чатботы. Это неприятно для рынка, но логично: LLM стали инфраструктурой общего назначения, а значит, злоупотребления будут мигрировать между сервисами так же, как раньше мигрировали между поисковиками, мессенджерами, соцсетями и облачными хостингами.
Для AI-лабораторий здесь три практических вывода.
Первый: проверки на злоупотребления должны учитывать не только одиночного злоумышленника, который задаёт один прямой вопрос. Организованные группы учатся, документируют удачные подходы, распределяют задачи и возвращаются к модели снова.
Второй: мониторинг нельзя строить только вокруг самых страшных CBRN- и киберсценариев. CASP показывает, что значимый прирост может появляться ниже этого порога: в рутинной подготовке, переводе, планировании, разборе ошибок и организационной безопасности.
Третий: нужна более тесная связка между компаниями, государствами и исследователями. У разработчиков ИИ есть телеметрия и знание моделей, у спецслужб и правоохранителей — сведения о группах, у академических исследователей — методология и полевой контекст. По отдельности каждая сторона видит только часть картины.

Что важно для читателя Toolarium
Для разработчиков, менеджеров ИИ-продуктов и security-команд эта история ложится в тот же кластер, что и ИИ как новая поверхность атаки. Модель сама по себе не является атакой. Но как только она становится универсальным помощником, вокруг неё появляется новая инфраструктура злоупотребления: аккаунты, подписки, каналы обмена опытом, наборы типовых задач и попытки обхода ограничений.
Это хорошо связано и с темой безопасности ИИ и alignment. Alignment в реальном мире — не абстрактный спор о добрых намерениях модели. Это вопрос о том, как система ведёт себя, когда пользователь мотивирован, настойчив, меняет формулировки, действует в группе и получает обратную связь от других людей.
Наконец, история напоминает о слабом месте safety-подходов, построенных только на фильтрации данных и явных запретах. Мы уже разбирали, почему SFT data filtering плохо убирает нежелательное поведение LLM: модель может знать опасные паттерны, даже если её учили не произносить их напрямую. Новое исследование CASP добавляет к этому полевой контекст.
Что делать дальше
Запретить генеративный ИИ из-за злоупотреблений невозможно и бессмысленно. Террористические группы используют не только чатботы: они используют карты, камеры, переводчики, мессенджеры, таблицы и обычный поиск. Рабочий вопрос другой: как сделать так, чтобы сильные модели меньше помогали организованным злоумышленникам и быстрее помогали защитникам.
Минимальный набор мер выглядит так:
- тестировать модели против многоходовых сценариев злоупотребления, а не только против прямых запрещённых запросов;
- усиливать мониторинг подозрительных паттернов без превращения продукта в тотальную слежку за нормальными пользователями;
- создавать каналы обмена сигналами между разработчиками ИИ, исследователями и правоохранительными структурами;
- проверять модели на языках и в регионах, которые часто выпадают из англоязычного safety-тестирования;
- оценивать не только «катастрофические» сценарии, но и повседневное повышение эффективности вредных групп.
Самое важное: не ждать идеального доказательства. CASP честно показывает ограничения своей работы, но именно поэтому она полезна. Это не финальный ответ о масштабе угрозы. Это сигнал, что прежняя картина была слишком узкой.
FAQ
Правда ли чатботы создают новые террористические угрозы?
Скорее они усиливают старые. По CASP и CTC, LLM снижают порог доступа к информации, ускоряют подготовку и помогают структурировать задачи. Но исследование не доказывает, что ИИ позволяет террористическим группам делать то, что раньше было принципиально невозможно.
Почему фильтры не решают проблему полностью?
Потому что злоупотребление редко выглядит как один прямой запрещённый запрос. Организованные группы могут пробовать разные формулировки, делить задачу на части, использовать несколько сервисов и обмениваться опытом. Фильтры нужны, но их надо дополнять проверками на злоупотребления, мониторингом и сотрудничеством с внешними исследователями.
Что должны делать разработчики ИИ и регуляторы?
Разработчикам ИИ нужно тестировать модели против реалистичных сценариев организованного злоупотребления и быстрее делиться сигналами о таких случаях. Регуляторам — не запрещать технологию в целом, а требовать оценки рисков, прозрачных процедур, независимых аудитов и каналов взаимодействия между платформами, исследователями и службами безопасности.
Источники и дата проверки
Факты проверены 12 июля 2026 года. Для быстро меняющихся деталей — возможностей моделей, защитных механизмов, статуса расследований и новых атак — нужна повторная проверка перед публикацией или цитированием.
- CASP: AI-Enabled Terrorism и PDF отчёта — основной первоисточник по 57 интервью, 27 бывшим участникам Boko Haram, методологии, выводам и ограничениям исследования.
- The Decoder — новостной пересказ от 11 июля 2026 года и контекст вокруг публикации CASP.
- DW — контекст по свежим тестам Tech Against Terrorism и экспертным комментариям о сдвиге от пропаганды к планированию.
- Combating Terrorism Center at West Point — майский обзор 2026 года о том, почему эффект генеративного ИИ для террористических угроз пока скорее эволюционный, чем революционный.
- CSIS — июльский разбор 2026 года о накопительном эффекте ИИ в терроризме, пропаганде, вербовке, операционной поддержке и институциональных мерах защиты.