Добро пожаловать в «вулнапокалипсис»: ИИ начал находить уязвимости быстрее, чем их успевают исправлять

Калифорнийская Palo Alto Networks, работающая в сфере информационной безопасности, обычно устраняет пять уязвимостей в месяц. Однако в этом месяце компания просканировала всю свою кодовую базу с помощью передовых ИИ-алгоритмов, включая Anthropic Mythos, и обнаружила 75 проблемных мест, охватывающих 23 уязвимости в классификации CVE.

Это лишь один пример того, как ИИ-технологии ускоряют поиск уязвимостей и их устранение, из-за чего стремительно растёт число выпускаемых патчей. На этом фоне даже появился термин «вулнапокалипсис», первая часть которого означает «уязвимость» (vulnerability).

Ранее на этой неделе Microsoft заявила, что новая ИИ-система поиска багов MDASH помогла софтверному гиганту выявить 17 уязвимостей в разных продуктах. Это сообщение появилось вместе с выпуском очередного пакета обновлений безопасности в рамках программы Patch Tuesday. Вместе с этим Microsoft раскрыла информацию сразу о 30 исправленных критических уязвимостях, что стало рекордным показателем для софтверного гиганта.

На прошлой неделе Mozilla сообщила, что в апреле разработчики исправили 423 бага в Firefox. Это более чем в пять раз больше 76 исправлений, которые были выпущены в марте, и почти в 20 раз больше среднемесячного показателя за прошлый год, когда Mozilla в среднем исправляла 21,5 ошибки в месяц. Ранее Mozilla сообщала, что ИИ-алгоритм Mythos обнаружил 271 уязвимость в Firefox 150.

Сейчас, когда ИИ-модели стали действительно хороши в поиске ошибок в программном коде, специализирующиеся на ИБ-безопасности компании используют их для сканирования собственного ПО, надеясь отыскать и устранить уязвимости до того, как они будут обнаружены злоумышленниками. Эта деятельность сводится к двум вещам: большому количеству патчей и большому объёму работы для администраторов ИТ-систем.

«На первых порах да, это означает больше патчей и, следовательно, больше работы для администраторов. Со временем главной целью станет устранение как можно большего количества уязвимостей, и со временем этот ежемесячный показатель пойдёт на спад», — считает Дастин Чайлдс (Dustin Childs), ИБ-специалист и участник проекта Zero Day Initiative. Он также добавил, что весь этот процесс может оказаться весьма «болезненным», поскольку многочисленные патчи не будут работать должным образом или, что ещё хуже, будут нарушать работоспособность других систем. «Многие клиенты и так не доверяют патчам, поэтому если патчи, связанные с ИИ, будут что-то ломать, то со временем клиенты будут реже их устанавливать. Это также справедливо к случаям, когда ИИ только находит баги, но не генерирует патчи», — считает Чайлдс.

Это совершенно не значит, что ИБ-компаниям следует избегать использования ИИ-инструментов для поиска и устранения уязвимостей. «Все вендоры должны использовать доступные им инструменты, чтобы находить и устранять баги до того, как их начнут использовать злоумышленники. В идеале нужно обнаруживать баги ещё до выпуска продукта, но я не слишком рассчитываю, что это станет реальностью», — добавил Чайлдс.

Microsoft и Palo Alto Networks являются участниками проекта Anthropic Project Glasswing, в рамках которой разрешено использование нашумевшей ИИ-модели Mythos для поиска уязвимостей в собственных продуктах. Palo Alto Networks начала тестировать Mythos в апреле. С тех пор компания продолжает использовать эту ИИ-модель, а также другие продукты, включая Claude Opus 4.7 и OpenAI GPT-5.5-Cyber. ИИ-модели просканировали 130 продуктов и сервисов Palo Alto Networks и, как уже упоминалось, выявили 75 проблемных мест. Компания устранила все уязвимости до того, как их обнаружили злоумышленники.

В Palo Alto Networks выразили готовность устранять каждую обнаруженную уязвимость до того, как продвинутые ИИ-алгоритмы станут широко доступны, и их смогут задействовать злоумышленники. По оценкам компании, у организаций есть запас в 3-5 месяцев, после чего эксплойты на основе ИИ начнут становиться нормой.