
Автоматизований трафік другий рік поспіль перевищує людський, а розвиток агентного AI змінює правила гри для кіберзахисту. Звіт Thales показує, як боти все активніше використовують API, бізнес-логіку застосунків і системи автентифікації, створюючи нові ризики для цифрових сервісів.
Черговий щорічний звіт Bad Bot Report від Thales підсумовує результати 2025 року і фіксує перехід, про який обережно говорили вже кілька років: автоматизований трафік остаточно став панівним явищем в інтернеті. Згідно з аналітикою, боти забезпечили 53% всього спостережуваного веб-трафіку, тоді як частка людей опустилася до 47%. Це другий рік поспіль, коли автоматизація перевищує людську активність, і тенденція стабільно триває щонайменше з 2015 року.
Це означає, що значна частина навантаження на цифрову інфраструктуру формується автоматизованими системами. Така зміна ландшафту вимагає радикального переосмислення підходів до масштабування інфраструктури та оцінки операційних ризиків.
Особливу увагу привертає динаміка «поганих» ботів – зловмисної автоматизації, яка займається скрапінгом, шахрайством, захопленням облікових записів та зловживанням бізнес-логікою. Їхня частка зросла до 40% від загального трафіку. Десятирічний графік добре ілюструє це повільне, але невпинне зростання: людський трафік знизився з 54% у 2015 році до 47% у 2025, тоді як частка шкідливих ботів зросла з 15% до 40% загального трафіку.
Головна новація звіту цього року – виділення штучного інтелекту в окрему, третю категорію автоматизованого трафіку поряд із традиційними «хорошими» та «поганими» ботами. AI-агенти, вбудовані в браузери, пошукові платформи та корпоративні інструменти, взаємодіють із застосунками й API безпосередньо від імені користувачів. За рік кількість AI-атак, що піддавалися блокуванню, зросла у 12,5 раза, а середньодобовий обсяг заблокованих запитів збільшився з 2 до 25 млн.
Дослідники Thales наголошують, що видима частина цієї активності – лише вершина айсберга. Аналіз показав, що понад 10% сесій AI-агентів типу fetcher і майже 9% сесій AI-краулерів спрацьовували правила виявлення шкідливих ботів. Водночас значна частина автоматизованого трафіку, створеного самостійно розгорнутими або доопрацьованими мовними моделями, залишається невидимою для систем захисту, що формує суттєвий розрив між тим, що організації можуть спостерігати, і реальним масштабом ризику.
API залишаються ключовою точкою вразливості: 27% атак ботів спрямовані саме на програмні інтерфейси. Атаки на API рідко виглядають як класичні зловмисні запити – автентифікація проходить успішно, запити коректно сформовані, а робочі процеси виконуються за правилами. Шкода виникає не через аномальну форму запиту, а через масштаб, наполегливість і намір зловмисника. Найпоширенішими загрозами для API стали витік даних (26%), зловживання бізнес-логікою та атаки типу RCE/RFI (по 13% кожна).

Особливу небезпеку становлять атаки на бізнес-логіку застосунків. Вони вже складають 21% усіх зафіксованих бот-інцидентів. На відміну від класичної експлуатації вразливостей, тут зловмисники використовують легітимні функції системи у спосіб, який розробники не передбачали. Це може бути, наприклад, масове резервування товарів без завершення покупки, маніпуляції з програмами лояльності, автоматизоване відстеження цін або зловживання процесами бронювання та замовлень. З погляду систем моніторингу такі дії часто виглядають як звичайна активність користувачів, що значно ускладнює виявлення загрози.
Дослідження також демонструє, що традиційні методи ідентифікації ботів втрачають ефективність. У 2025 році 41% шкідливих ботів маскувалися під браузер Chrome, використовуючи реалістичні профілі пристроїв, проксі-мережі та поведінкові шаблони, схожі на дії справжніх користувачів. У багатьох випадках визначити автоматизацію можна лише за тривалими патернами поведінки або масштабом активності.
Найбільш атакованою галуззю залишаються фінансовий сектор – на нього припало 24% всіх атак ботів і 46% інцидентів захоплення облікових записів. Останні залишається одним із найприбутковіших напрямків для зловмисників: порівняно з липнем 2024 року кількість таких атак у липні 2025 зросла на 70%, що дослідники частково пов'язують зі зростанням використання AI-інструментів для імітації легітимної поведінки під час входу в систему.
Окремо звіт фіксує посилення складності атак: частка просунутих і помірно складних кампаній зросла до 58%. Боти навчилися аналізувати реакцію систем захисту, змінювати цифрові відбитки протягом кількох годин після впровадження нових правил і повертатися через альтернативні канали. Водночас зросла й кількість простих, низькокваліфікованих атак – на понад 230% за рік, що дослідники пояснюють зниженням порогу входу завдяки доступності AI-інструментів.
Тож якщо раніше основним завданням було відрізнити людину від бота, то сьогодні цього вже недостатньо. Автоматизація дедалі частіше діє від імені користувачів, використовує легітимні інструменти та працює через ті самі API, що й бізнес-застосунки. Тому для служб безпеки дедалі важливішим стає не факт автоматизації, а її намір. Саме здатність розрізняти корисну й шкідливу автоматизовану активність визначатиме ефективність захисту цифрових сервісів у найближчі роки.