Звіт Thales (Imperva) Bad Bot Report 2026

Глобальний інтернет-трафік остаточно перестав бути простором, де домінують люди. Згідно з даними тринадцятого щорічного дослідження, опублікованого в звіті Imperva - Bad Bot Report April 2026, за підсумками минулих 12 місяців автоматизовані програми згенерували рекордні 53% усіх пошукових та мережевих запитів. Частка людської активності знизилася до 47%, зафіксувавши фундаментальний структурний зсув у процесах споживання ресурсів цифрових сервісів.

Головним фактором такої стрімкої трансформації стало повсюдне впровадження штучного інтелекту. ШІ перестав бути просто допоміжним інструментом кіберзлочинців — тепер він глибоко інтегрований у саму інфраструктуру інтернету, породжуючи просунуті ШІ-агенти (AI agents). Ці агенти здатні навчатися, мімікрувати під легітимних користувачів і обходити класичні системи ІТ-безпеки протягом кількох годин.

Різниця между легітимною та вредоносною автоматизацією стає все більш розмитою. Боти нового покоління використовують валідні середовища браузерів, повністю повторюють логіку поведінки людини та діють через ті самі API-інтерфейси, що й ключові бізнес-додатки.

Глобальна статистика: цифрові загрози в цифрах

Масштаби роботизованої активності створюють безперервний фоновий тиск на корпоративні мережі та ІТ-інфраструктуру підприємств. У звіті Imperva - Bad Bot Report April 2026 зафіксовано наступні критичні показники автоматизованої присутності:

• 17,2 трильйона — загальна кількість шкідливих запитів ботів, заблокованих глобальними системами захисту Thales за рік.
• 40% усього інтернет-трафіку припадає виключно на шкідливих ботів (Bad Bots), що на 3 відсоткові пункти вище за показники попереднього року.
• 12,5-кратне зростання кількості зафіксованих і нейтралізованих ШІ-атак. Середньодобова кількість заблокованих ШІ-інцидентів зросла з 2 мільйонів до 25 мільйонів.
• 21% усіх пом'якшених кібератак безпосередньо класифікуються за категоріями автоматизованих загроз OWASP.

Анатомія ШІ-трафіку: краулери проти фетчерів

З появою генеративного ШІ та великих мовних моделей (LLM) автоматизований трафік розділився на три категорії: класичні корисні боти (наприклад, пошукові індексатори), шкідливі боти та автономні ШІ-агенти, які виконують завдання від імені користувачів безпосередньо через додатки. Легітимний ШІ-трафік, який піддається виявленню, сьогодні поділяють на дві ключові групи:

• AI Crawlers (85% ШІ-трафіку): Систематично сканують веб-ресурси для збору масивів даних та навчання нейромереж. Найбільшими джерелами стали Meta-External Agent (44%), Apple Bot (23%) та Bytespider Bot (13%).
• AI Fetchers (15% ШІ-трафіку): Витягують точковий контент у режимі реального часу у відповідь на безпосередні запити користувачів. Тут абсолютно домінує ChatGPT-User із часткою у 88%, за ним йдуть PerplexityBot AI (7%) та Google-CloudVertexBot (4%).

Небезпека полягає в тому, що паттерни їхніх дій перетинаються з хакерськими техніками. Статистика звіту показує, що 10,8% сесій AI-фетчерів і 8,8% сесій AI-краулерів активували базові правила виявлення шкідливих ботів, а 4% запитів краулерів спровокували спрацьовування захисних систем від DDoS-атак.

Уразливість API та атаки на логіку додатків

Зловмисники все частіше відмовляються від компрометації користувацьких інтерфейсів, проектуючи шкідливі кампанії за принципом API-first. Минулого року 27% усіх бот-атак були спрямовані безпосередньо на ендпоінти API. Боти обходять фронтенд, використовують легітимні методи авторизації та надсилають коректно сформовані запити, через що традиційні веб-фільтри не бачать аномалій. Серед найбільш поширених загроз для API виділяються витік даних (26%), зловживання бізнес-логикою (13%) та віддалене виконання коду RCE/RFI (13%).

Галузева специфіка автоматизованих атак

Удари по фінансовому сектору

• Загальний обсяг атак: Financial Services став індустрією, яку атакували найбільше, прийнявши на себе 24% від усіх зафіксованих інцидентів із плохими ботами.
• Захоплення облікових записів (ATO): Фінансові інститути акумулювали 46% усіх світових атак типу Account Takeover. Шахраї масово використовують автоматизований перебір облікових даних (credential stuffing) через мобільні API, незважаючи на впровадження MFA.
• Специфіка загроз: Боти глибоко занурилися у внутрішню інфраструктуру, взаємодіючи з банківськими API-інтерфейсами та платіжними шлюзами на машинному рівні для прямої монетизації фроду.

Тиск на рітейл і туризм

• Зловживання бізнес-логікою: Сфери роздрібної торгівлі (Retail) та подорожей (Travel) лідирують за кількістю маніпуляцій із логікою додатків — 24% та 17% атак відповідно.
• Штучний дефіцит: В авіаперевезеннях та рітейлі боти використовують тактику seat spinning та блокування інвентарю — масово додають квитки або дефіцитні товари до кошиків без подальшої оплати. Це спотворює аналітику попиту та позбавляє реальних клієнтів можливості здійснити покупку.
• Парсинг цін: Високочастотні ШІ-боти безперервно збирають дані про ціни та промокоди, підриваючи маркетингові стратегії та алгоритми динамічного ціноутворення компаній.

Ключові технологічні відмінності підходів до захисту

Традиційні засоби захисту (WAF та Rate Limiting)

• Принцип роботи: Аналіз поверхневих сигналів, таких як рядки User-Agent, репутація IP-адрес та статичні пороги частоти запитів.
• Ефективність проти ШІ-ботів: Вкрай низька. Прості методи блокування не справляються зі складними ботами, які динамічно змінюють IP-адреси та обходять статичні ліміти.
• Ризики для бізнесу: Високий рівень хибнопозитивних спрацьовувань (блокування реальних клієнтів) або пропуск цільових низькочастотних атак на логіку бізнес-процесів.

Платформа Imperva Advanced Bot Protection

• Принцип работы: Поведінковий аналіз на рівні сесій, перевірка консистентності параметрів браузера та динамічне Challenge-тестування.
• Ефективність проти ШІ-ботів: Висока. Рішення відстежує приховані аномалії та довгострокову активність ботів, навіть якщо вони використовують легітимні браузерні середовища та резидентні проксі.
• Переваги для бізнесу: Мінімізація тертя для реальних користувачів, повна видимість ШІ-трафіку та захист критично важливих ендпоінтів API без зниження продуктивності додатків.

Технологічна відповідь Thales: можливості Imperva Advanced Bot Protection

Для протидії загрозам нового покоління компанія Thales пропонує комплексне рішення Imperva Advanced Bot Protection (ABP), що входить до єдиної екосистеми захисту додатків. Платформа реалізує парадигму переходу від простого блокування до наскрізного управління та контролю трафіку:

• Багаторівнева детекція та фінгерпринтинг: Технологія глибокого аналізу пристроїв дозволяє збирати та валідувати сотні атрибутів клієнтського середовища, виявляючи складну мімікрію ботів під популярні браузери, включаючи Google Chrome (41% маскувань) та Android Browser (17%).
• Виявлення резидентних проксі: Платформа аналізує паттерни розповсюдження запитів і часові невідповідності, успішно ізолюючи автоматизований трафик, що маршрутизується через мережі домашніх провайдерів та мобільних операторів.
• Захист бізнес-логіки та API: Модуль Imperva ABP аналізує корисне навантаження запитів (request payloads) та транзакційну поведінку в режимі реального часу, блокуючи спроби парсингу даних, перебору цін та зловживання API-ендпоінтами.
• Адаптивні механізми виклику (Challenge Mechanisms): Замість застарілих CAPTCHA, які ШІ-боти сьогодні ефективно розгадують, рішення застосовує криптографічні методи Proof-of-Work, що підвищує обчислювальну вартість автоматизованих атак для зловмисників без створення незручностей для реальних користувачів.
• Інтеграція з Account Takeover Protection (ATO): Синергія двох модулів забезпечує безперервний поведінковий моніторинг процесів автентифікації, своєчасно виявляючи компрометацію облікових записів на основі відхилень від базового профілю поведінки легітимного клієнта.

Реальні кейси протидії: фінансові втрати бізнесу

Кейс 1. Страхова медицина та атака SMS Pumping

Крупний міжнародний провайдер медичного страхування зазнав автоматизованої атаки на систему двофакторної автентифікації. Боти надсилали високочастотні запити до API генерації одноразових паролів (OTP), використовують підроблені та одноразові email-адреси. Система масово розсилала верифікаційні SMS-повідомлення в регіони, які не відповідають цільовій аудиторії компанії. Зловмисники не викрали персональні дані, але завдали прямого фінансового збитку: за 20 днів атаки оператори виставили компанії рахунки за SMS-трафік на суму близько 300 000 доларів США. Впровадження просунутих моделей детекції ботів і обмежень на рівні API дозволило повністю ліквідувати уразливість.

Кейс 2. Захист банківських облікових записів від ATO

Фінансова організація зафіксувала раптовий критичний сплеск авторизаційного трафіку, спрямованого на інтерфейси автентифікації клієнтів. Оскільки інцидент стався до розгортання профільного рішення, автоматизовані запити безперешкодно проходили стандартні бар'єри безпеки. Оперативне підключення спеціалізованих модулів Imperva Account Takeover Protection у синергії з алгоритмами Advanced Bot Protection дозволило провести поведінковий аналіз сесій, виявити відхилення від сценаріїв поведінки реальних клієнтів і зупинити масовий злам аккаунтів, захистивши банк від регуляторних штрафів за стандартами GDPR, DORA та PSD2.