Боты обошли людей: автоматизированный трафик впервые превысил долю «живых» пользователей в сети — отчёт Imperva 2025

В новом Bad Bot Report аналитики Imperva фиксируют исторический перелом: в 2024 году на ботов пришелся уже 51% всего глобального веб-трафика, причём 37% составили вредоносные программы.

Искусственный интеллект на службе у злоумышленников

Авторы подчёркивают, что генеративные ИИ-инструменты резко удешевили разработку и «обучение» ботов. Imperva ежедневно блокировала в среднем 2 млн AI-заражённых попыток взлома; более половины таких атак приходилось на краулер ByteSpider, маскирующий вредоносный трафик под легитимное индексирование.

Куда целятся боты

API-интерфейсы — главный фронт: почти половина продвинутых атак направлена на бизнес-логику API, а не на классические веб-формы.

Отрасли-лидеры по атакам: тревел-сектор (27 % всех бот-инцидентов), ритейл (15 %) и образование (11 %). В авиаперевозках особенно популярны «seat-spinning»-боты, резервирующие билеты без оплаты и искажающие динамическое ценообразование.

География: более 53 % атак пришлись на США; в EMEA треть вредоносных запросов пришлась на Великобританию, а в АТР — на Гонконг и Индонезию (по 24 %).

Тренды маскировки

Более 46 % вредоносных запросов маскируются под браузер Chrome, ещё 17 % — под мобильный Safari. Злоумышленники активно используют:

• резидентские прокси (21 % атак через ISP-адреса),
• headless-браузеры (Selenium, Puppeteer),
• подмену заголовков и токенов,
• AI-генерируемые скрипты для обхода CAPTCHA.

Что делать бизнесу

Imperva советует компаниям:

• Инвентаризировать уязвимые маршруты (login, checkout, API).
• Ограничить устаревшие User-Agent и трафик с bulk-IP-провайдеров.
• Динамически включать защитные меры (MFA, rate-limit, адаптивные CAPTCHA) в пиковые периоды — «не раскрывайте все карты сразу».
• Выбирать многослойные решения с поведенческой аналитикой и ML-моделями, способными отличать «хороших» ботов от «плохих».

Почему это важно

Перекос в сторону автоматизированного трафика означает, что каждая вторая сессия в интернете — не человек, а программа. Для бизнеса это обернётся прямыми потерями выручки (скальпинг, фрод с подарочными картами), ростом затрат на инфраструктуру, искажённой аналитикой маркетинговых кампаний и рисками штрафов за утечки данных.

«Если вы не контролируете свой веб-трафик, это сделают злоумышленники», — резюмируют исследователи Imperva.

В контексте стремительного распространения ИИ-решений задача выявлять и блокировать вредоносных ботов становится критично важной для любой цифровой компании.