ИИтог

ИИ находит тысячи дыр в коде одновременно, и командам безопасности не справиться

безопасностьРедакция ИИтогThe Register🔥74Рейтинг ИИтог · значимость 63 · 41667/ч
ИИ находит тысячи дыр в коде одновременно, и командам безопасности не справиться

Фронтирные модели ИИ (в том числе Anthropic Mythos) начали массово находить скрытые уязвимости в широко используемых открытых проектах. Так, Mythos просканировала более 1000 проектов с открытым кодом и выявила примерно 6200 уязвимостей высокой и критической степени опасности. Проблема в масштабе: около 95% кода в современных приложениях, это сторонние библиотеки. Команды быстро закрывают уязвимости в собственном коде, но не могут самостоятельно исправить баги в open-source-зависимостях, на которые полагаются. За счёт этого возникает огромное окно уязвимости.

Кроме того, разрыв между раскрытием уязвимости и началом её активной эксплуатации практически исчез, так что организации сталкиваются с угрозами до того, как становятся доступны патчи, и часто не знают, от каких именно проектов они зависят.

В ответ созданы две координирующие инициативы: Athena Coalition (основана Chainguard, участники, Cisco, JPMorganChase, Docker и другие) действует как центр обработки находок, дедублирует отчёты и разрабатывает закалённые версии библиотек ещё до публичного раскрытия; Akrites (Linux Foundation с Amazon, Google, Microsoft, OpenAI и Anthropic) создаёт специализированную команду реагирования на инциденты и стандартизирует процесс разглашения.

Ключевые факты

  • Mythos и другие ИИ-модели находят в одном коде всё больше уязвимостей при повторном сканировании, статистика пугает тем, что конца не видно
  • Athena Coalition за короткое время обработала 20 000+ находок и создала 2000+ патчей для 500 проектов
  • 95% кода в приложениях, это open-source-зависимости, которые организации не могут исправить сами
  • Время между раскрытием уязвимости и началом её эксплуатации сократилось к нулю
  • Две инициативы (Athena и Akrites) пытаются координировать отклик и создавать герметичные версии библиотек на время разработки патчей

Почему это важно

ИИ коренным образом меняет ландшафт безопасности: он находит баги на порядки быстрее и скрупулёзнее, чем люди. Но инфраструктура их закрытия осталась прежней, медленной и рассредоточенной. Когда уязвимость раскрыта и на её закрытие уходят недели, в это окно успевает пролезть атака. То, что 95% кода, чужое, означает, что большинство дыр находятся вне контроля организации, а полагаться на малочисленные мейнтейнеры open-source-проектов опасно.

Кому это важно

В первую очередь, security-команды, которым теперь нужно в срочном порядке переоборудовать процессы. Вторично, all-in компании вроде того же Chainguard, которые видят в этом бизнес (консолидация информации, выпуск hardened-версий). Третье, каждое приложение, которое зависит от популярных открытых библиотек (то есть практически любое современное ПО).

Как это применить

Для своих проектов: усилить сканирование своего кода ИИ-инструментами прямо сейчас. Для зависимостей: отслеживать Athena Coalition и Akrites за готовыми патчами, они попытаются взять на себя часть работы. Собрать инвентарь того, какие проекты вы используете (многие организации этого не знают). Ускорить обновление зависимостей когда выходят патчи, даже если в changelog ничего не обещают специально.

Можно ли доверять

Источник, The Register (техническая пресса, регулярно освещает дыры и инициативы). Цифры поддержаны утверждениями CEO Chainguard (Dan Lorenc), Athena Coalition публично существует и листинг участников проверяется. ИИ-модели действительно обнаруживают дыры, есть отдельные статьи про Amazon Q exploit, через который вредоносные Git-репо исполняют код. Надёжность высокая, но это анализ текущей ситуации, не предсказание будущего.

Риски и подводные камни

Во-первых, даже если дырка найдена и закрыта, организация может не обновиться вовремя (или вообще). Во-вторых, Athena и Akrites имеют смысл только если мейнтейнеры open-source-проектов согласны их слушать и принимать патчи; многие мелкие проекты могут просто игнорировать. В-третьих, если ИИ находит дыры в том же, что и вы, то и враги найдут, гонка за закрытием дыр может быть неравной, особенно против спецслужб или гос-спонсируемых групп.

«Статистика, которую мы видим, настолько страшна, если просто продолжать сканировать те же библиотеки и тот же код, он просто продолжает находить всё больше уязвимостей»

— Dan Lorenc, CEO Chainguard