ИИ убил 90-дневное окно раскрытия уязвимостей: системы под угрозой zero-day атак

1 час назад / Технологии → Новости / Технологии

Из-за стремительного развития ИИ, помогающего в поиске уязвимостей, стандартный 90-дневный срок раскрытия информации об ошибках безопасности фактически устарел. Это оставляет мир программного обеспечения под угрозой zero-day атак, которые могут быть использованы злоумышленниками до выхода исправлений.

Исследователь безопасности Химаншу Ананд (Himanshu Anand) в своем блоге подробно объяснил, почему отраслевой стандарт в 90 дней на исправление уязвимости больше не работает. Проблема в том, что ИИ-ассистенты, в частности большие языковые модели (LLM), способны анализировать код на наличие уязвимостей круглосуточно, с полной отдачей и высокой эффективностью в распознавании шаблонов, что недоступно человеку.

В качестве примера Ананд приводит недавние уязвимости ядра Linux Copy Fail и Dirty Frag. Обе проблемы были раскрыты публично гораздо раньше обычного 90-дневного срока — в случае с Dirty Frag прошла всего неделя. Причина в том, что эксплойты уже активно использовались в реальных атаках, и скрывать их не было смысла.

Чтобы проиллюстрировать масштаб проблемы, Ананд рассказывает о своем отчете об ошибке в одном интернет-магазине. Он обнаружил уязвимость, позволявшую покупать товары за $0 (0 рублей). К его удивлению, в ответе сообщили, что за шесть недель эту же проблему уже сообщили 10 (!) других исследователей. Обсудив это с коллегой, они заметили, что «охотники за багами с помощью LLM сходились к одним и тем же ошибкам почти одновременно».

Эти выводы подтверждает инженер по триажу @d0rsky, который отмечает, что после обнаружения новой уязвимости он сразу видит «волну дублирующихся отчетов в течение нескольких дней». Он задается резонным вопросом: «Если исследователи могут так быстро воспроизводить находки, что мешает злоумышленникам делать то же самое до того, как проблема будет исправлена?» Ананд добавляет, что сам создал эксплойт для уже опубликованной и исправленной уязвимости в React всего за 30 минут, используя инструменты LLM.

В своем заключении Ананд заявляет, что 90-дневное окно больше никого не защищает, а ежемесячные циклы обновлений также мертвы, так как «30-дневный промежуток между уязвимостью и исправлением предполагает, что атакующие медленнее вашего релизного цикла». Он призывает разработчиков рассматривать «каждую критическую проблему безопасности как P0 и исправлять ее немедленно», предполагая, что она уже активно эксплуатируется.

Ирония в том, что открытое программное обеспечение (open-source), традиционно считающееся более безопасным из-за публичности кода, теперь сталкивается с двойной угрозой. С одной стороны, патчи могут быть созданы за часы, как недавно доказала Mozilla, выпустив 423 исправления безопасности в апреле. С другой стороны, LLM с одинаковым успехом могут анализировать как открытый, так и закрытый код, что делает уязвимости в продуктах Microsoft, Apple или Google лишь вопросом времени.

Источник: Tomshardware.com