Сегодня 07 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ сломал правила кибербезопасности — 90-дневное окно раскрытия уязвимостей теперь мертво

Исследователь безопасности Химаншу Ананд (Himanshu Anand) заявил, что отраслевой стандарт 90-дневного окна раскрытия уязвимостей фактически мёртв. Сам Ананд с помощью ИИ-инструментов создал рабочий эксплойт для уже исправленной уязвимости за 30 минут, а независимые исследователи массово обнаруживают одни и те же уязвимости за считанные дни.

 Источник изображения: Sasun Bughdaryan / unsplash.com

Источник изображения: Sasun Bughdaryan / unsplash.com

Поводом стали две свежие уязвимости повышения привилегий в ядре Linux — Copy Fail и Dirty Frag: обе позволяли получить права администратора через локальную учётную запись. Информацию о Dirty Frag раскрыли чуть больше чем через неделю после её передачи команде разработки ядра Linux, задолго до привычных 90 дней. Предположительно, исследователи поспешили, потому что уязвимость уже активно эксплуатировалась хакерами.

Масштаб проблемы Ананд показал на собственном примере: он нашёл уязвимость в неназванном интернет-магазине, позволявшую покупать товары за $0, и отправил отчёт, но выяснилось, что за предшествующие шесть недель о той же ошибке сообщили ещё 10 исследователей. Ананд заключил, что специалисты по кибербезопасности, использующие ИИ, сходились на одних и тех же ошибках практически одновременно. Другой расследователь инцидентов подтвердил, что при появлении новой уязвимости он видит волну дублирующихся отчётов за считанные дни и задаётся вопросом, что мешает злоумышленникам делать то же самое до её устранения.

ИИ не умнее человека, но он работает круглосуточно и крайне эффективен в распознавании закономерностей, а большинство эксплойтов коренится именно в повторяющихся ошибках кода. Ананд продемонстрировал это на фреймворке React, собрав эксплойт для уже закрытой уязвимости за 30 минут.

По словам Ананда, 90-дневное окно не защищает никого, а ежемесячные циклы обновлений тоже мертвы, поскольку 30-дневный промежуток между обнаружением и исправлением предполагает, что злоумышленники медленнее релизного конвейера. Он призывает относиться к каждой критической уязвимости как к P0 (наивысший приоритет инцидента в системах баг-трекинга), исправлять немедленно и встроить ИИ в процессы проверки кода. Ананд резюмирует, что пока разработчик читает описания CVE, злоумышленник уже изучает git log --diff-filter=M — и выигрывает.

Открытое программное обеспечение превращается в обоюдоострое оружие: ИИ используют доступность кода и для защиты, и для атаки. Впрочем, патч может появиться за считанные часы — команда Mozilla выпустила 423 исправления только за апрель. Для закрытого ПО перспектива хуже: ИИ-боты столь же хороши в декомпиляции и сетевом сканировании, и вполне вероятно, что Microsoft, Apple или Google переживут свой момент Copy Fail скорее рано, чем поздно.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 2 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 3 ч.
Microsoft выделила $2,5 миллиарда, чтобы приобщать клиентов к ИИ 3 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 3 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 3 ч.
Google подготовила радикальный дизайн «Переводчика» 3 ч.
Windows 11 начала «съедать» до 500 Гбайт на диске — Microsoft признала баг 3 ч.
«Спрашиваю для друга»: сооснователь Arkane поинтересовался у гендиректора Xbox, сколько стоит выкупить студию 5 ч.
Microsoft начала тестировать функцию Cloud Rebuild — облачное восстановление засбоившей Windows 11 6 ч.
Американские компании массово переходят на китайский ИИ — решения OpenAI и Anthropic стали слишком дороги 6 ч.
Российские власти не будут вводить плату за иностранный трафик 32 мин.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 44 мин.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 3 ч.
Роботакси Waymo породили хаос на улицах Сан-Франциско на День независимости США 3 ч.
Бум ИИ обойдётся в $11 трлн — без гигантских долгов рынок уже не справится 3 ч.
Суд отверг попытку Илона Маска избежать ответственности по делу о покупке Twitter 3 ч.
Канадская Coractive взялась за развитие полого оптоволокна 5 ч.
Кастомный IRHX AWS на 9 % сократит расход воды в ЦОД 5 ч.
Бюджетный смартфон Nothing Phone (4b) представлен официально по цене €329 6 ч.
Представлены беспроводные наушники Nothing Ear (3a) с 32 Мбайт памяти, смарт-функциями и активным шумоподавлением за €99 6 ч.