Николай Чикишев world 20 апреля 2026, 14:41

ИИ устроил «баг-армагеддон»: заваливает отчётами об уязвимостях

Разработчики открытого ПО столкнулись с резким ростом баг-репортов из-за ИИ: современные модели находят уязвимости быстрее, чем команды успевают их закрывать.

Оставить комментарий

ИИ устроил «баг-армагеддон»: заваливает отчётами об уязвимостях

Разработчики открытого ПО столкнулись с резким ростом баг-репортов из-за ИИ: современные модели находят уязвимости быстрее, чем команды успевают их закрывать.

По данным Bloomberg, ситуация приводит к перегрузке мейнтейнеров и рискам для интернет-инфраструктуры. Создатель cURL Дэниел Стенберг сообщил, что в 2025 году получил 181 отчет об ошибках — столько же, сколько за два предыдущих года. К апрелю 2026-го — уже 87, и по итогам года показатель может превысить 300. При этом он остается единственным разработчиком проекта на полной ставке.

Ключевой драйвер, по мнению экспертов, — это массовое использование ИИ-инструментов, которые автоматизируют поиск уязвимостей и генерацию отчетов. В результате резко вырос не только поток находок, но и доля «шумных» или дублирующихся багов.

Ситуацию усугубляет появление специализированных моделей. По словам разработчиков модели Mythos от Anthropic, система за два дня и примерно $20 000 вычислений обнаружила тысячи уязвимостей, включая баг в OpenBSD, который оставался незамеченным более 27 лет и мог приводить к сбоям в сетевом оборудовании и серверах. Кроме того, модель способна генерировать код для эксплуатации найденных уязвимостей, что снижает требования к квалификации атакующих.

Anthropic ограничила доступ к Mythos примерно 50 организациями и не планирует публичный релиз. «Нам нужно быть уверенными, что мы можем безопасно выпустить эту модель», — заявил глава команды оценки рисков Логан Грэм. Аналогичные инициативы готовят конкуренты: OpenAI разрабатывает кибербез-версию своих инструментов, а Google тестирует программу раннего доступа для разработчиков.

Ложная тревога: малые ИИ-модели могут находить баги не хуже нашумевшей Mythos от Anthropic

Рост нагрузки уже фиксируется на уровне индустрии. По данным HackerOne, количество баг-репортов выросло на 76% за год, а среднее время исправления увеличилось с 160 до 230 дней. Некоторые программы bug bounty, включая проекты Google и Internet Bug Bounty, временно ограничили прием заявок из-за наплыва автоматически сгенерированных отчетов.

Главный риск связан с открытым кодом: интернет-инфраструктура держится на проектах, которые часто поддерживают небольшие команды или даже один разработчик. При этом корпоративные продукты — это лишь «верхний слой»: под ними скрываются десятки компонентов с открытым исходным кодом, которые просто не готовы к такому потоку уязвимостей.

ИИ меняет и модель атак. Если раньше поиск сложных багов требовал длительного анализа, то теперь навыки для создания эксплойтов резко снизились, а старый код, который считался проверенным, снова становится целью. Например, Mythos нашла более 100 уязвимостей в Firefox и смогла написать эксплойт для одной из них в тестовой среде.

В результате отрасль сталкивается с новой проблемой: количество уязвимостей растет быстрее, чем возможности их исправления. Эксперты сравнивают это с «ИИ-версией Y2K» — масштабной задачей по массовому патчингу систем, которая потребует координации компаний и государства.