В 2026 году атакам подвергались 87% корпоративных мобильных приложений, которые отслеживала Digital.ai. Для сравнения, в 2022 году этот показатель составлял 55%, то есть за четыре года он вырос на 32 процентных пункта.
Данные приведены в отчёте 2026 Application Security Threat Report. Исследование основано на мониторинге угроз в реальном времени для приложений, которыми пользуются миллиарды людей в финансовом секторе, здравоохранении, автомобильной индустрии и телекоммуникациях.
Главный вывод отчёта — скорость атак резко выросла из-за AI. Те же инструменты, которые помогают разработчикам быстрее собирать и выпускать приложения, используют и злоумышленники. В результате промежуток между публикацией приложения в магазине и первым враждебным контактом фактически исчезает.
Особенно заметно изменилась ситуация с экосистемой Apple. В 2023 году iOS-приложения атаковали примерно вдвое реже, чем Android-приложения, поэтому компании часто вкладывали меньше средств в защиту iOS. В 2026 году разрыв почти исчез: уровень атак на iOS достиг 86%, на Android — 89%.
В Digital.ai связывают это с развитием агентного AI. По оценке компании, задачи, для которых раньше требовалась команда специалистов и несколько недель работы, теперь могут занимать один день и подписку на LLM. Это меняет требования к разработке приложений и веб-сервисов: защита должна быть встроена до релиза, а не добавляться после первых инцидентов.
Самый высокий уровень атак зафиксирован в финансовом секторе и автомобильной индустрии — по 91%. Для финансовых приложений это рекордный показатель за всю историю отчёта. В автомобильной сфере рост связан с тем, что приложения для подключённых автомобилей становятся основным интерфейсом управления дорогими активами.
Отдельно в отчёте выделены приложения медицинских устройств. Их показатель вырос с 78% до 86% за год — это крупнейший годовой скачок среди названных отраслей. В этом случае риск выходит за рамки обычной утечки данных: компрометация приложения может создать угрозу для пациента.
CEO Digital.ai Дерек Холт заявил, что AI, который разработчики используют утром для создания приложения, уже днём может применяться для атаки на него. По его словам, при уровне атак в 87% ожидание реакции команды безопасности больше не работает как стратегия.
Для компаний это означает пересмотр приоритетов в кибербезопасности и защите мобильных продуктов. Особенно это касается отраслей, где приложение связано с деньгами, транспортом, медицинскими устройствами или персональными данными. По мере ускорения разработки с помощью AI растёт и нагрузка на процессы DevSecOps, мониторинг и защиту приложений на этапе выполнения.
Отчёт не раскрывает точный размер выборки, географию данных и методологию подсчёта атак. Также не уточняется, речь идёт об успешных взломах или обо всех попытках hostile contact. Но сама динамика показывает, что мобильные приложения крупных компаний становятся одной из главных поверхностей атаки, а традиционный разрыв в защите iOS и Android быстро теряет смысл.
В этом контексте компаниям придётся внимательнее относиться не только к мобильным приложениям, но и к смежным каналам доступа — от API до корпоративной почты и учётных записей. Практики вроде защиты электронной почты, контроля доступа и постоянного мониторинга становятся частью одной цепочки безопасности.