Банк сам создал AI-охотника: почему поставщики не успевают за угрозами

Опыт Commonwealth Bank: как переход на собственную agentic AI сократил время реагирования с 2 дней до 30 минут и масштабировал детекцию до 400 млрд сигналов в неделю

В 2026 году рынок кибербезопасности столкнулся с парадоксом: количество угроз растет экспоненциально, а скорость реакции вендоров на новые векторы атак остается лимитирующим фактором. Australia’s Commonwealth Bank (CBA), один из крупнейших финансовых институтов мира с активами свыше $1 трлн, принял стратегическое решение — отказаться от ожидания и построить собственного агентного AI-охотника.

Результаты опережают все ожидания. Если раньше система обрабатывала 80 миллионов сигналов в неделю, сейчас этот показатель достиг 400 миллиардов — рост в 5000 раз. Время реагирования на инцидент сократилось с двух дней до 30 минут. Это не просто технологический прорыв, это смена парадигмы: от пассивного потребления security-решений к активному созданию интеллектуальных агентов, способных адаптироваться к угрозам в реальном времени.

Современный ландшафт угроз развивается по логарифмической кривой. Новые векторы атак, вроде Adversarial ML или zero-day эксплойтов на базе генеративных моделей, появляются быстрее, чем вендоры успевают обновить свои сигнатурные базы и ML-модели. Средний цикл разработки enterprise security product составляет от 6 до 18 месяцев, тогда как цикл жизни нового эксплойта может исчисляться днями.

Для финансового сектора, где каждый час простоя или компрометации стоит миллионы, это неприемлемо. Commonwealth Bank столкнулся с классической проблемой “vendor lag”: поставщики предлагали универсальные решения, не способные адаптироваться под уникальную threat модель банка. Решение стало очевидным — перейти от потребления к производству, создав собственную систему, которая не просто детектирует, но и предсказывает векторы атак, используя агентные AI-архитектуры.

Система, построенная в CBA, основана на принципах agentic AI — автономных агентах, способных ставить цели, планировать действия и адаптироваться к результатам. В отличие от классических SIEM или XDR, которые пассивно собирают логи, агенты активно “охотятся”: они формулируют гипотезы, проводят расследования и коррелируют аномалии across всей инфраструктуры.

Технологический стек включает современные модели, такие как Claude 4.6 Opus для анализа контекста и DeepSeek v4 для паттерн-матчинга на масштабе. Ключевое отличие — цикл обратной связи в реальном времени. Каждый обработанный инцидент улучшает модель, создавая эффект снежного кома: чем больше данных, тем точнее детекция, что ведет к еще большему объему обрабатываемой информации без потери качества.

Ключевой фреймворк внедрения — это не просто технология, а операционная модель. Commonwealth Bank выделил три критических слоя: детекция, расследование и ответ. На первом слое AI-агенты сканируют трафик в поисках аномалий, используя unsupervised learning. Второй слой — это корреляция и контекстуализация: агенты запрашивают дополнительные данные из EDR, SIEM и даже HR-систем для оценки insider threats.

Третий слой — автоматизированный ответ. В системе заложены playbooks для типовых сценариев, которые агенты могут исполнять autonomously, минуя ручные процедуры. Например, при обнаружении подозрительной активности с учетной записи сотрудника система может временно ограничить доступ, инициировать MFA-запрос и уведомить SOC-команду — все это в рамках одного цикла обработки сигнала.

Создание собственной системы — это инвестиция, и ее ROI нужно считать не только в деньгах, но и в стратегических преимуществах. Расчеты CBA показывают, что стоимость разработки и поддержки собственного AI-охотника окупается за счет снижения потенциальных убытков от компрометации. В банке подсчитали: один инцидент ransomware, предотвращенный на 30 минут раньше, чем это сделал бы vendor-продукт, экономит миллионы долларов.

Но главное — это суверенитет. Банк получает полный контроль над моделью, данными и roadmap-ом развития. Он не зависит от вендорских сроков обновлений, политик ценообразования или прекращения поддержки продуктов. В эпоху, когда AI-модели эволюционируют каждый квартал, это критически важное конкурентное преимущество.

Опыт CBA не означает, что каждая организация должна строить всё с нуля. Существует фреймворк принятия решения, основанный на трех переменных: уникальность threat-модели, объем данных и доступные ресурсы. Если ваша threat-модель стандартна (например, для SMB), vendor-решения остаются оптимальным выбором.

Однако для организаций с уникальными векторами атак (финансы, телеком, критическая инфраструктура), огромными объемами данных и сильными ML-командами, собственная разработка становится стратегическим императивом. Ключевой тест: если вы не можете найти на рынке решение, которое обрабатывает >50% ваших сценариев угроз за приемлемое время, — пора строить.

Кейс Commonwealth Bank — это сигнал о начале новой эры. В 2026 году мы видим переход от пассивных систем к активным агентам, которые не только детектируют, но и расследуют, и отвечают. Это меняет роль SOC-команд: от ручного триажа к управлению AI-агентами и постановке стратегических задач.

В ближайшие 12-24 месяца ожидается волна “внутренних” разработок в крупных корпорациях. Вендоры ответят открытием API и позволят кастомизировать свои модели, но конкурентное преимущество останется у тех, кто контролирует полный цикл. В конечном счете, кибербезопасность становится гонкой не за features, а за скоростью адаптации к угрозам, и здесь собственные AI-агенты дают непреодолимое преимущество.

Вывод

Опыт Commonwealth Bank доказывает: в эпоху экспоненциального роста угроз скорость вендоров стала лимитирующим фактором безопасности. Переход от потребления к созданию собственных AI-агентов не просто улучшает метрики — он меняет правила игры. Банк получил не только 5000-кратный рост масштаба детекции и сокращение времени реагирования до 30 минут, но и стратегическую независимость.

Для CISO и руководителей компаний это сигнал: пришло время оценить свои threat-модели и понять, где универсальные решения перестают работать. Граница между “можно купить” и “надо построить” проходит там, где заканчивается скорость адаптации вендоров и начинается цена простоя. В 2026 году преимущество получают те, кто перестает ждать и начинает строить.