Николай Чикишев world 20 красавіка 2026, 14:41

ШІ выклікаў «баг-армагедон»: засыпае справаздачамі пра ўразлівасці

Распрацоўшчыкі адкрытага ПЗ сутыкнуліся з рэзкім ростам баг-рапартаў праз ШІ: сучасныя мадэлі знаходзяць уразлівасці хутчэй, чым каманды паспяваюць іх закрываць.

Пакінуць каментарый

ШІ выклікаў «баг-армагедон»: засыпае справаздачамі пра ўразлівасці

Распрацоўшчыкі адкрытага ПЗ сутыкнуліся з рэзкім ростам баг-рапартаў праз ШІ: сучасныя мадэлі знаходзяць уразлівасці хутчэй, чым каманды паспяваюць іх закрываць.

Паводле дадзеных Bloomberg, сітуацыя прыводзіць да перагрузкі мэйнтэйнераў і рызык для інтэрнэт-інфраструктуры. Стваральнік cURL Дэніел Стэнберг паведаміў, што ў 2025 годзе атрымаў 181 справаздачу пра памылкі — столькі ж, колькі за два папярэднія гады. Да красавіка 2026-га — ужо 87, і па выніках года паказнік можа перавысіць 300. Пры гэтым ён застаецца адзіным распрацоўшчыкам праекта на поўнай стаўцы.

Ключавы драйвер, на думку экспертаў, — гэта масавае выкарыстанне ШІ-інструментаў, якія аўтаматызуюць пошук уразлівасцей і генерацыю справаздач. У выніку рэзка вырас не толькі паток знаходак, але і доля «шумных» ці багаў, якія дублююцца.

Сітуацыю пагаршае з’яўленне спецыялізаваных мадэляў. Паводле слоў распрацоўшчыкаў мадэлі Mythos ад Anthropic, сістэма за два дні і прыкладна $20 000 вылічэнняў выявіла тысячы ўразлівасцяў, у тым баг у OpenBSD, які заставаўся незаўважаным больш за 27 гадоў і мог прыводзіць да збояў у сеткавым абсталяванні і серверах. Акрамя таго, мадэль здольная генераваць код для эксплуатацыі знойдзеных уразлівасцяў, што зніжае патрабаванні да кваліфікацыі атакуючых.

Anthropic абмежавала доступ да Mythos прыкладна 50 арганізацыямі і не плануе публічны рэліз. «Нам трэба быць упэўненымі, што мы можам бяспечна выпусціць гэтую мадэль», — заявіў кіраўнік каманды ацэнкі рызык Логан Грэм. Аналагічныя ініцыятывы рыхтуюць канкурэнты: OpenAI распрацоўвае кібербяспечную версію сваіх інструментаў, а Google тэсціруе праграму ранняга доступу для распрацоўшчыкаў.

Ложная тревога: малые ИИ-модели могут находить баги не хуже нашумевшей Mythos от Anthropic

Рост нагрузкі ўжо фіксуецца на ўзроўні індустрыі. Паводле дадзеных HackerOne, колькасць баг-рапартаў вырасла на 76% за год, а сярэдні час выпраўлення павялічыўся з 160 да 230 дзён. Некаторыя праграмы bug bounty, уключаючы праекты Google і Internet Bug Bounty, часова абмежавалі прыём заявак праз наплыў аўтаматычна згенераваных справаздач.

Галоўная рызыка звязана з адкрытым кодам: інтэрнэт-інфраструктура трымаецца на праектах, якія часта падтрымліваюць невялікія каманды ці нават адзін распрацоўшчык. Пры гэтым карпаратыўныя прадукты — гэта толькі «верхні пласт»: пад імі схаваны дзясяткі кампанентаў з адкрытым зыходным кодам, якія проста не гатовы да такога патоку ўразлівасцяў.

ШІ змяняе і мадэль атак. Калі раней пошук складаных багаў патрабаваў доўгага аналізу, то цяпер навыкі для стварэння эксплойтаў рэзка знізіліся, а стары код, які лічыўся праверанным, зноў становіцца мэтай. Напрыклад, Mythos знайшла больш за 100 уразлівасцяў у Firefox і змагла напісаць эксплойт для адной з іх у тэставым асяроддзі.

У выніку галіна сутыкаецца з новай праблемай: колькасць уразлівасцяў расце хутчэй, чым магчымасці іх выпраўлення. Эксперты параўноўваюць гэта з «ШІ-версіяй Y2K» — маштабнай задачай па масавым патчынгу сістэм, якая запатрабуе каардынацыі кампаній і дзяржавы.