Індустрія кібербезпеки зіткнулася з раптовим і масовим сплеском програмних уразливостей – феноменом, який вже називають “кризою виявлення багів нульового дня”. Швидкий розвиток штучного інтелекту призвів до того, що обсяг звітів про вразливість починає перевищувати можливості розробників та команд безпеки щодо їх усунення.
Криза масштабів
Масштаби цього напливу безпрецедентні. Дані Zero Day Initiative, найбільшої у світі вендоронезалежної програми Bug Bounty, показують приголомшливе зростання кількості заявок на 490% цього місяця порівняно з аналогічним періодом минулого року.
Справа не лише у збільшенні кількості звітів; відбувається фундаментальне зрушення у самих методах пошуку вразливостей. Цей «потоп» змушує організації вживати радикальних заходів:
– Програма Internet Bug Bounty повністю призупинила прийом нових заявок, щоб впоратися з навантаженням.
– cURL, критично важливий компонент програмного забезпечення з відкритим вихідним кодом, поставив на паузу свою програму Bug Bounty, щоб боротися з «інформаційним шумом» та знизити психологічне навантаження на волонтерів-розробників.
– Команди безпеки ведуть виснажливу роботу з «сортування» (triage) — процесу розбирання тисяч звітів, щоб визначити, які з них є реальними загрозами, а які — «ІІ-сміттям» (низькоякісні автоматизовані звіти).
Від «шуму» до загроз високого ступеня серйозності
Спочатку експерти побоювалися, що ІІ генеруватиме переважно «низькоякісні» звіти — автоматизовані, безглузді заявки, які лише забирають час у розробників. Проте тенденція змінюється у бік набагато небезпечнішого сценарію.
Даніель Стенберг, провідний розробник cURL, відзначає критичну зміну вектора: незважаючи на величезний обсяг звітів, серйозність та якість цих багів також зростають. За його словами, темпи підтвердження реальних уразливостей зараз зрівнялися з рівнем, що існував до ери ІІ, або навіть перевершили його.
Прикладом цього зсуву є недавня розробка компанії Anthropic – Claude Mythos. Модель ІІ продемонструвала просунуті здібності до автономного пошуку та експлуатації вразливостей нульового дня у всіх основних операційних системах. В Anthropic заявили, що виявили так багато багів, що змушені публікувати їх черговістю, починаючи з найкритичніших, щоб не паралізувати роботу розробників. Вони також привели протверезну статистику: менше 1% виявлених ними вразливостей були повністю виправлені відповідними розробниками.
Динаміка «перегони озброєнь»
Цей сплеск підкреслює зростаючий дисбаланс у сфері кібербезпеки. Хоча ІІ дає інструменти захисникам, він також значно підвищує продуктивність зловмисників.
| Аспект | Вплив ІІ |
|---|---|
| Швидкість виявлення | Зростає експоненційно; баги перебувають швидше, ніж люди встигають їх виправляти. |
| Серйозність уразливостей | Перехід від низькорівневого шуму до критичних, придатних для експлуатації вразливостей нульового дня. |
| Навантаження на ресурси | Перевантаження волонтерів open-source проектів і навіть гігантів, як Microsoft. |
| Процес сортування | Необхідність використовувати ІІ проти ІІ; компанії впроваджують моделі для фільтрації “ІІ-сміття”. |
Нещодавно Microsoft випустила своє друге за величиною щомісячне оновлення безпеки за всю історію, і багато експертів пов’язують це саме зі зростанням активності ІІ у пошуку дірок у захисті. Хоча компанія обережна, не називаючи ІІ єдиною причиною, кореляція очевидна.
Шлях вперед: масштабування захисту
Нині промисловість опинилася у замкнутому колі реактивних процесів. Щоб протистояти потоку багів, створених ІІ, організації безпеки змушені самі використовувати ІІ для сортування та фільтрації вхідних звітів.
Головна проблема полягає в “швидкості”. Якщо темпи, з якими дослідники (і хакери) знаходять уразливості, продовжать випереджати швидкість, з якою розробники можуть писати, тестувати та впроваджувати виправлення, «вікно можливостей» для атакуючих лише розширюватиметься.
«Ми повинні знайти спосіб масштабувати наші виправлення так само швидко, як дослідники (і атакуючі) масштабують свої знахідки», – попереджає Дастін Чайлдс із Zero Day Initiative.
Висновок
Зростання можливостей ІІ у пошуку вразливостей створило «вузьке місце» у безпеці програмного забезпечення: колосальний обсяг критичних помилок загрожує паралізувати глобальну інфраструктуру випуску патчів. Успіх у цю нову епоху залежатиме від того, чи зможе індустрія масштабувати свої оборонні можливості так само стрімко, як ІІ масштабує наступальний потенціал.
