ИИ помог обнаружить 12 уязвимостей в OpenSSL, скрывавшихся десятилетиями

Исследователи в области кибербезопасности обнаружили 12 уязвимостей в кодовой базе OpenSSL — стандарта безопасности, защищающего большую часть интернета. Все они, включая критические, были выявлены только с помощью инструментов на базе искусственного интеллекта, а некоторые из них существовали в коде с 1998 года.

Команда кибербезопасности компании Aisle сообщила в блоге, что обнаружила и выпустила исправления для 12 уязвимостей (CVE) различной степени серьёзности. Среди них — критические, такие как CVE-2025-15467 (переполнение буфера в стеке), позволяющее в определённых условиях выполнять удалённые команды, и уязвимости средней тяжести, например CVE-2025-11187.

Остальные 10 уязвимостей классифицированы как низкоуровневые и включают в себя проблемы, приводящие к исчерпанию памяти, её повреждению, ошибкам шифрования и сбоям. Примечательно, что некоторые из них, например CVE-2025-68160 и CVE-2026-22796, затрагивают код, начиная с версии OpenSSL 1.0.2.

Это открытие наглядно демонстрирует ограниченность ручного поиска уязвимостей человеком. OpenSSL является одним из самых популярных инструментов для реализации протоколов SSL и TLS. Практически любой сайт, использующий HTTPS, шифрует соединение с помощью этой библиотеки.

Инструмент ИИ, использованный исследователями, обладает контекстно-зависимым обнаружением, что позволяет ему понимать контекст анализируемого кода. Система проходит ряд шагов для идентификации угроз, присваивая элементам приоритетные оценки, чтобы снизить количество ложных срабатываний.

Внедрение ИИ в кибербезопасность происходит стремительно. Это позволяет повысить эффективность защиты, особенно на фоне растущего числа атак, которые также всё чаще используют возможности искусственного интеллекта. Например, несколько лет назад исследователи создали систему на базе ИИ, способную предсказывать преступное поведение с точностью 82,8%.

Источник: Tomshardware.com