5 мая инженер-программист Джефф Кауфман (jefftk) опубликовал статью «AI is Breaking Two Vulnerability Cultures», утверждая, что ИИ одновременно разрушает две долгоживущие параллельные культуры обработки уязвимостей: скоординированное раскрытие (coordinated disclosure) и «тихие исправления» («bugs are bugs»). Оба подхода опирались на предпосылку, что у злоумышленников «медленная скорость обнаружения», и эту предпосылку уже удалось обойти с помощью автоматического сканирования, выполняемого ИИ. Оригинальный пост Кауфмана в блоге и получил на Hacker News свыше 200 рейтинговых баллов по активности (горячие обсуждения) — это одна из самых обсуждаемых в этой неделе в среде разработчиков статей по вопросам кибербезопасности.
Две культуры уязвимостей: скоординированное раскрытие vs «тихие исправления»
Две рамки, которые Кауфман собрал:
Скоординированное раскрытие (coordinated disclosure) — исследователь уведомляет в частном порядке верификаторов/разработчиков, предоставляет типичное окно на 90 дней для исправления, а затем раскрывает публично. За этим стоит допущение: атакующему нужно время, чтобы независимо обнаружить ту же уязвимость
«Bugs are Bugs» тихие исправления — типичная практика в проектах с открытым исходным кодом вроде Linux: при исправлении не подчёркивают, что это именно исправление безопасности; вместо этого «затапливают» релиз потоком изменений, избегая привлечения внимания атакующих
Раньше обе культуры могли сосуществовать, потому что у злоумышленников не было инструментов для «быстрого, автоматического и недорогого» сканирования всех историй коммитов или одновременного поиска одной и той же уязвимости. ИИ меняет это допущение.
Удар ИИ по «тихим исправлениям»: сканирование commit становится дешёвым
Конкретное воздействие ИИ на проекты в стиле Linux с открытым исходным кодом:
Раньше: атакующему приходилось последовательно просматривать коммиты — требовались большие объёмы человеческого труда и времени; «затапливание» потоком публикаций могло служить эффективной маскировкой
Сейчас: ИИ может недорого сканировать историю коммитов, автоматически распознавать commit, которые «выглядят как исправления безопасности», даже если автор прямо это не обозначил
Последствия: скрытность тихих исправлений быстро теряет силу, а буферный период «после исправления до развёртывания» сокращается
Кауфман приводит конкретный пример: «анализ коммитов (examining commits) становится всё более привлекательным», потому что оценка каждого изменения для ИИ «становится всё дешевле и всё эффективнее». Это означает, что в будущем проекты с открытым исходным кодом больше не смогут опираться на традиционное преимущество — когда скорость исправления опережает скорость внимания атакующих.
Удар ИИ по «координированному раскрытию»: 90-дневный эмбарго начинает давать обратный эффект
В культуре скоординированного раскрытия ключевое — «эмбарго» (embargo): исследователь обязуется не публиковать информацию до того, как разработчики успеют исправить уязвимость. Но ИИ позволяет нескольким командам одновременно сканировать одну и ту же уязвимость:
Конкретный пример: о некоторой уязвимости, о которой сообщал исследователь Hyunwoo Kim, уже через 9 часов узнали независимо
Несколько команд при поддержке ИИ могут синхронно действовать; долгие сроки эмбарго вместо ожидаемого эффекта дают «иллюзию необязательности и отсутствия спешки»
Если другие находят уязвимость за 9 часов, то 90-дневное эмбарго оставляет настоящим атакующим окно в 89 дней 23 часа
Вывод Кауфмана: в будущем следует применять «очень короткие эмбарго» (very short embargoes), причём чем больше будут расти возможности ИИ, тем короче должны становиться сроки. Важно: ускорение ИИ не односторонне выгодно атакующим — защитники тоже могут ускорять исправления и развёртывание; обе стороны будут конкурировать в сжатом временном окне.
Дальнейшие события, за которыми можно следить: будут ли крупные проекты вроде Linux Kernel и Project Zero обновлять рекомендации по срокам раскрытия; насколько продвигается коммерциализация инструментов автоматического сканирования уязвимостей на базе ИИ (Semgrep, CodeQL и т. п.); и какие конкретные стратегии в области реагирования на «двуострый эффект ИИ» сформируют корпоративные подразделения по кибербезопасности.
Эта статья Jeff Kaufman: AI одновременно разрушает две культуры обработки уязвимостей и 90-дневный срок эмбарго превращается в обратный эффект впервые появилась в 鏈新聞 ABMedia.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
