Програмний інженер Джефф Кауфман (jefftk) 8 травня опублікував статтю «AI is Breaking Two Vulnerability Cultures» і заявив, що AI одночасно руйнує дві усталені культури поводження з уразливостями, які довго співіснували, — узгоджене розкриття (coordinated disclosure) та «глухі виправлення» («bugs are bugs») — обидві стратегії спиралися на припущення про «повільну швидкість виявлення атакувальниками», і що це припущення вже подолане автоматизованими технологіями сканування на базі AI. Оригінальний допис Кауфмана в блозі та на Hacker News набрав понад 200 балів гарячої активності й є одним із найобговорюваніших у галузевій спільноті цього тижня матеріалів про безпеку.
Дві культури вразливостей: узгоджене розкриття vs «глухі виправлення»
Кауфман систематизував два культурні каркаси:
Узгоджене розкриття (coordinated disclosure) — дослідник приватно повідомляє розробників і надає типовий 90-денний часовий коридор на виправлення, після чого робить публічне розкриття. За цим стоїть припущення: атакувальникам потрібен час, щоб незалежно знайти ту саму вразливість
«Bugs are Bugs» глухі виправлення — поширений підхід у відкритих проєктах зокрема на Linux: під час патчу не особливо позначають його як безпекове виправлення, «затоплюють» релізи з уразливостями потоком внесків, щоб убезпечувальні виправлення залишалися непомітними, і уникають привертання уваги з боку атакувальників
Раніше ці дві культури могли співіснувати, бо в атакувальників не було «швидких, автоматизованих і недорогих» інструментів, які сканують усю історію внесків або одночасно шукають ту саму вразливість. AI змінює це припущення.
Удар AI по «глухих виправленнях»: сканування commit стає дешевим
Конкретний вплив AI на відкриті проєкти у стилі Linux:
Раніше: атакувальникам потрібно було послідовно переглядати внески, на це витрачали багато людської праці та часу; «затоплення» обсягом внесків було ефективним маскуванням
Тепер: AI може за низькою ціною сканувати історію внесків, автоматично розпізнавати commit, які «схожі на безпекове виправлення», навіть якщо автор не проговорює це прямо
Наслідок: прихованість глухих виправлень швидко втрачає дієвість, а буферний період «після виправлення до розгортання» стискається
Кауфман наводить конкретний приклад: «перегляд commit (examining commits) стає дедалі привабливішим», бо оцінка кожної зміни для AI «стає дедалі дешевшою й дедалі ефективнішою». Це означає, що в майбутньому відкриті проєкти не зможуть більше покладатися на традиційну перевагу: випереджати увагу атакувальників завдяки більш швидким темпам виправлень.
Удар AI по узгодженому розкриттю: 90-денний ембарго починає давати зворотний ефект
Ключова ідея культури узгодженого розкриття — «ембарго» (embargo): дослідник зобов’язується не публікувати інформацію до того, як розробники встигнуть виправити. Але AI дозволяє кільком командам синхронно сканувати однакові вразливості:
Конкретний приклад: дослідник Хюнву Кім (Hyunwoo Kim) повідомив про певну вразливість — і вже через 9 годин її незалежно виявили інші
Кілька команд із допомогою AI працюють паралельно й узгоджено, тож довге ембарго натомість дає «хибне відчуття не терміновості»
Якщо інші можуть знайти це за 9 годин, то 90-денне ембарго насправді надає справжнім атакувальникам вікно атаки на 89 днів 23 години
Висновок Кауфмана: у майбутньому слід використовувати «дуже коротке ембарго» (very short embargoes), і що більше зростатимуть можливості AI, то коротшим воно має бути. Важливо, що прискорення завдяки AI не лише вигідне атакувальникам: захисники теж можуть використовувати AI для прискорення виправлень і розгортання, і обидві сторони змагатимуться в межах стиснутого часового вікна.
Подальші події, за якими варто стежити: чи оновлюватимуть великі проєкти на кшталт Linux Kernel і Project Zero рекомендації щодо термінів розкриття; як просувається комерціалізація інструментів автоматизованого сканування вразливостей на базі AI (Semgrep, CodeQL тощо); і які конкретні стратегії протидії «AI як двосічний меч» застосовуватимуть підрозділи кібербезпеки в компаніях.
Ця стаття Jeff Kaufman: AI одночасно руйнує дві культури безпекових уразливостей, а 90-денне ембарго починає давати зворотний ефект вперше з’явилася на Сайті про блокчейн ABMedia.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
