Ситуация вышла из под контроля: разработчики открытого ПО тонут в потоке багрепортов, найденных ИИ

Как стало известно Bloomberg, небольшие команды разработчиков программного обеспечения с открытым исходным кодом столкнулись с беспрецедентным ростом количества отчётов о найденных уязвимостях, генерируемых искусственным интеллектом. Мощные ИИ-модели, такие как Mythos от Anthropic, находят ошибки быстрее, чем мейнтейнеры способны их исправить, создавая, таким образом, серьёзные риски для глобальной интернет-безопасности.

Дэниел Стенберг (Daniel Stenberg), главный сопровождающий проекта cURL, сообщил, что в 2025 году его команда получила 181 уведомление об ошибках, что сопоставимо с объёмом за два предыдущих года вместе взятых. К апрелю 2026 года количество уведомлений уже достигло 87 и, таким образом, может составить около 325 за год. Стенберг отметил, что справляется с большинством задач в одиночку, так как является единственным полнозанятым участником проекта, но признал резкий рост нагрузки. Эксперты связывают этот всплеск с появлением таких инструментов, как ChatGPT и Claude, которые значительно упростили процесс поиска багов и заполнения форм отчётности.

Ситуация усугубляется выпуском новой модели Mythos от компании Anthropic, способной автономно выявлять и эксплуатировать уязвимости нулевого дня в основных операционных системах и браузерах. Опасаясь серьёзных последствий для экономики и национальной безопасности, разработчик решил не выпускать модель в открытый доступ, а предоставить её лишь ключевым организациям, включая CrowdStrike и Linux Foundation. Параллельно компания объявила о выделении $4 млн на поддержку групп сопровождения программного обеспечения.

Зависимость технологического сектора от открытого исходного кода, поддерживаемого небольшими командами с малым финансированием, становится проблемой на фоне высоких рыночных оценок ИТ-гигантов. Нагрузка на эти команды растёт быстрее, чем их физические возможности по реагированию на уязвимости, что ставит под угрозу стабильность интернет- сервисов. Однако существует надежда, что использование новой модели Mythos позволит устранять проблемы до того, как их обнаружат злоумышленники.

Проблема усугубляется накоплением устаревшего кода, который может содержать скрытые ошибки и уязвимости. Например, база кода cURL сейчас превышает 592 тысячи строк, и даже небольшое обновление одного компонента способно вызвать сбои в других частях системы. Исторические прецеденты, такие как уязвимость Heartbleed в OpenSSL, показали, насколько катастрофическими могут быть последствия ошибок, оставшихся незамеченными в течение длительного времени.

Массовое внедрение генеративного ИИ привело к тому, что программы вознаграждений за поиск уязвимостей, такие как инициатива Google и Internet Bug Bounty, были вынуждены приостановить приём заявок из-за потока автоматически сгенерированных отчётов. Специалисты описывают текущую ситуацию как атаку типа «отказ в обслуживании» (DDoS), направленную непосредственно на разработчиков, а ведущие инженеры из HAProxy и SUSE подтвердили, что объём поступающей информации стал пугающим и труднообрабатываемым.

Несмотря на риски, ранний доступ к передовым ИИ-инструментам уже помогает ключевым фигурам отрасли, таким как Грег Кроа-Хартман (Greg Kroah-Hartman), поддерживающих ядро Linux, эффективнее исправлять реальные проблемы. Однако зависимость от человеческого фактора сохраняется. Например, Стенберг тратит в среднем два часа на устранение каждой проблемы и продолжает работать над отчётами даже в выходные дни. Он выражает опасения, что поддерживать текущий темп работы невозможно, и назрели срочные изменения для сохранения здоровья и работоспособности разработчиков открытого программного обеспечения.