Как Стартап Ocean Использует Ии Для Борьбы С Фишинг‑Атаками: Интервью С Бывшим Хакером Шаем Шварцем

Ключевые выводы

• Ocean – платформа, анализирующая каждый входящий e‑mail с помощью собственного небольшого LLM, чтобы выявлять фишинг, созданный ИИ.
• Основателем является Шай Шварц – бывший хакер, который провёл более десяти лет в израильских оборонных единицах и участвовал в проекте Iron Dome.
• Стартап привлёк $28 млн от Lightspeed Venture Partners, Picture Capital, Cerca Partners и известных ангелов, среди которых со‑основатели Armis.
• Клиенты Ocean уже проверяют миллиарды писем в месяц: Kayak, Kingston Technology и Headspace.
• Традиционные решения (Proofpoint, Mimecast, Abnormal Security) борются со стандартным фишингом, а Ocean фокусируется на AI‑генерированных атаках, которые масштабируются автоматически.

Электронная почта остаётся самым популярным каналом для кибератак, но с появлением больших языковых моделей злоумышленники могут создавать фишинг‑сообщения быстро и персонализировано. Ocean предлагает способ «поставить охранника у каждой двери» — автоматический анализ контекста письма, понимающий намерения отправителя и проверяющий их в рамках конкретной организации.

От хакера к защитнику: путь Шая Шварца

Шай Шварц начал «служить» киберпространству, когда был подростком. В 16 лет его поймали за взломы, и он понял, что его навыки могут быть полезнее, если их направить на оборону. После этого Шварц провёл почти десятилетие в топ‑странам кибербезопасности, работая в израильских оборонных и разведывательных подразделениях. В числе его проектов – сотрудничество с командой, разрабатывающей систему противоракетной обороны Iron Dome.

Опыт работы в «железных» условиях дал ему представление о том, как действует атакующий противник, и какие уязвимости остаются незамеченными в корпоративных почтовых системах. С этим багажом Шварц решил открыть собственный стартап.

Два года назад он и со‑соучредитель Орэн Мойаль (CTO) выкатили Ocean из «тихого режима». Платформа построена на небольшом языковом модели, обученной исключительно на анализе писем, что делает её в разы быстрее и точнее в своей нише, чем крупные LLM, используемые для генерации текста.

Почему обычные антифишинговые решения больше не работают?

Традиционные решения, такие как Proofpoint, Mimecast или более новые игроки вроде Abnormal Security, хорошо справляются с «классическим» фишингом – когда злоумышленник тратит недели на исследование цели, подбирает личные детали и вручную пишет письма. Однако ИИ меняет правила игры.

Большие языковые модели позволяют «автоматизировать» весь процесс: собрать публичные данные о человеке, сгенерировать персонализированное письмо и отправить его сотням или тысячам получателей за считанные минуты. Масштаб такой атаки превышает всё, что было до появления LLM.

Шварц сравнивает это с тем, как раньше только «очень опытные» хакеры могли делать spear‑phishing, а теперь любой с доступом к ChatGPT может запустить почти идентичную кампанию. Поэтому защищаться нужно тем же «умным» способом – используя ИИ, который умеет понять контекст письма так же, как человек.

Как работает Ocean: от «маленькой модели» до «охранника у каждой двери»

Ocean построила собственный языковой модельный слой размером в несколько сотен миллионов параметров – достаточно, чтобы анализировать структуру, тон и цель письма, но при этом быстро работать в реальном времени. Модель «читается» в контексте конкретной организации: она проверяет, соответствует ли отправитель известным контактам, насколько запрашиваемая информация совпадает с обычными бизнес‑процессами компании и есть ли скрытые признаки имитации.

Каждое письмо проходит три основных этапа:

1. Контекстный сканинг. Модель извлекает ключевые сущности (имена, должности, ссылки) и сравнивает их с внутренними справочниками.
2. Оценка намерения. С помощью «намеренческая классификация» система определяет, пытается ли отправитель запросить конфиденциальные данные, перенаправить на сторонний ресурс или просто уведомить.
3. Сопоставление с политикой. Если действие противоречит установленным правилам (например, запрос финансовой информации от неизвестного поставщика), письмо помечается как подозрительное.

Результат – почти мгновенный фидбек, который интегрируется в почтовый клиент и позволяет пользователю увидеть, что письмо «запрещено» или «в порядке». По словам Шварца, это «как иметь охранника у каждой двери», который знает, кто имеет право войти.

Инвестиционная поддержка и стратегические партнеры

Крупный раунд в $28 млн возглавил Lightspeed Venture Partners, известный инвестор в области SaaS и кибербезопасности. Участие также приняли Picture Capital, Cerca Partners и несколько «ангельских» инвесторов: со‑основатель и CEO Wiz Ассаф Раппапорт, а также Явгений Дибров и Надир Израэль – со‑учредители Armis, недавно проданной ServiceNow за $7,75 млрд.

Эти инвесторы выбрали Ocean, потому что видят в платформе ответ на новую волну AI‑фишинга, которая уже начинает угрожать корпоративным бюджетам и репутации. Кроме того, наличие в команде бывшего эксперта по защите Iron Dome усиливает доверие к технической части продукта.

Клиенты, которые уже проверяют миллиарды писем

Сейчас Ocean обслуживает несколько известных брендов:

• Kayak – онлайн‑агрегатор туристических услуг, где защита от фишинга критична из‑за финансовых транзакций.
• Kingston Technology – производитель памяти и накопителей, который часто получает заявки от «поставщиков» с целью кражи данных о новых продуктах.
• Headspace – платформа для медитаций, где утечка пользовательских данных может сильно подорвать доверие.

Эти компании уже подтверждают, что система способна «прочитывать» и оценивать более миллиарда писем каждый месяц, снижая количество фальшивых запросов почти до нуля.

Сравнение с конкурентами: что делает Ocean уникальным?

Будущее защиты почты: что будет дальше?

Скоро LLM станут ещё более доступными, а генеративные модели – ещё более реалистичными. Это значит, что фишинг будет продолжать эволюционировать, а защита должна идти в ногу. Ocean планирует расширить свои возможности за счёт:

• Мульти‑язычной поддержки – сейчас модель обучена на английском, но скоро будет работать с русским, немецким и другими языками.
• Синергии с SIEM‑системами – автоматическое создание инцидентов в Splunk, Sentinel и др.
• Обучения «на лету» – адаптация модели к новым типам атак без длительного переобучения.

Пока же главное правило остаётся прежним: чем быстрее система понимает контекст письма, тем ниже шанс, что пользователь поддастся атаке.

Справка

Шай Шварц – израильский киберспециалист, в подростковом возрасте занимался хакерством, в 16 лет был задержан. После этого провёл более 10 лет в израильских оборонных и разведывательных подразделениях, где участвовал в проектах, связанных с системой противоракетной обороны Iron Dome. В 2022 году стал со‑основателем стартапа Ocean, специализирующегося на AI‑защите электронной почты.

Oran Moyal – технический директор Ocean, имеет опыт в разработке масштабируемых машинных‑learning систем, ранее работал в сферах облачных инфраструктур и кибербезопасности.

Lightspeed Venture Partners – ведущий венчурный фонд, инвестирующий в технологии SaaS, кибербезопасность и AI. Среди портфолио – компании Snap, AppDynamics, Nutanix.

Armis – компания, специализирующаяся на защите IoT‑устройств, основана Явгением Дибровым и Надиром Израэлем. В 2022 году продана ServiceNow за $7,75 млрд.

Proofpoint – один из крупнейших поставщиков решений для защиты от фишинга и спама, основан в 2002 году, обслуживает более 5 000 корпоративных клиентов.

Если ваша компания использует электронную почту для ежедневных операций, вам уже сегодня стоит задуматься о том, как ИИ меняет правила игры. Ocean показывает, что можно превратить эту угрозу в возможность — автоматический, контекстный контроль каждой входящей записи делает ваш ящик по‑настоящему безопасным.