Как ии меняет подходы к безопасности

Знаешь, что бесит больше всего в безопасности? Баг нашли, тихо починили, а кто-то всё равно успел раскрыть его раньше времени.

Именно это случилось недавно с уязвимостью Copy Fail (название уязвимости в ядре Linux, связанной с ошибкой копирования данных). Её обнаружили, тихо исправили — но кто-то заметил изменения в коммите (единица изменения в коде — как сохранить одну правку в истории проекта) и выложил в публичный доступ досрочно. Классика.

Но вот что интересно: сама история показывает глубинный конфликт между двумя подходами к безопасности, который ИИ теперь обостряет до предела.

Две культуры безопасности

В мире есть два радикально разных взгляда на то, как обращаться с уязвимостями.

Координированное раскрытие — это стандартный подход: нашёл баг → сообщил разработчикам приватно → дал им время (обычно 90 дней) → потом рассказал всем. Логика простая: пока народ не знает о дыре, есть шанс починить её незаметно.

«Баги — это просто баги» — такой подход особенно популярен в Linux и сетевом стеке. Аргумент простой: если ядро делает что-то неправильное, кто-то где-то может этим воспользоваться. Поэтому просто чинишь как можно быстрее и не привлекаешь внимания. Обычно никто даже не заметит — изменений так много проходит ежедневно.

Оба подхода никогда не работали идеально. Но сейчас всё ломается.

ЭВОЛЮЦИЯ ПОИСКА УЯЗВИМОСТЕЙ
─────────────────────────────
До ИИ:
Человек ищет → тратит недели/месяцы → находится редко

После ИИ:
AI сканирует код → тратит минуты/часы → находится регулярно
         │
         ▼
    Слишком много "находок" = внимание к каждому коммиту

Почему ии всё ломает

Представь себе такую картину: раньше ты находил баг, писал вендору, давал 90 дней на исправление. Шанс, что кто-то ещё найдёт то же самое за эти три месяца? Практически нулевой — слишком медленно всё происходило.

Теперь? Теперь десятки групп используют ИИ для сканирования софта. Автоматически анализируют каждый коммит. Сигнал стал громче шума.

Джефф Кауфман приводит конкретный пример: буквально через девять часов после того, как Хёнву Ким сообщил об ESP-уязвимости (уязвимость в протоколе ESP — части IPsec, которая шифрует сетевые данные), другой исследователь Кан-Тин Чен independently reported it too тоже её нашёл — независимо!

Вот тебе и «эмбарго».

Эмбарго создаёт ложное чувство безопасности

В этом вся ирония координированного раскрытия: чем дольше эмбарго (запрет на публикацию — время, когда информация о баге secret до официального релиза), тем больше вероятность, что кто-то уже эксплуатирует дыру, пока все сидят и ждут положенные 90 дней.

Эмбарго ограничивает количество людей, которые могут работать над исправлением. Только избранные знают о проблеме. А пока они там думают…

Кауфман предлагает решение: очень короткие эмбарго (буквально несколько дней), которые будут сокращаться со временем. Парадокс в том, что ИИ может помочь и защитникам тоже — быстрее анализировать код и создавать патчи (исправление — кусок кода который закрывает дыру).

Что показало тестирование

Автор статьи провёл любопытный эксперимент: дал трём большим языковым моделям хэш коммита (уникальный отпечаток каждого изменения) с исправлением Copy Fail.

Все три распознали его как security fix практически мгновенно.

Потом он попробовал дать только diff (запись изменений между двумя версиями кода) без контекста:

• Gemini был уверен,
• ChatGPT предположил,
• Claude усомнился.

Вывод? Контекст всё ещё важен для точности. Но сам факт того, что модели могут автоматически анализировать поток коммитов и выделять потенциальные проблемы безопасности — это уже новый мир.

СРАВНЕНИЕ ПОДХОДОВ К УЯЗВИМОСТЯМ
───────────────────────────────────
                    │ Координированное │ "Баги = баги"
                    │     раскрытие    │    (Linux)
────────────────────┼──────────────────┼───────────────
Скорость публикации │    90 дней       │  сразу после
                    │                  │    merge'а
Риск эксплуатации   │    высокий       │     низкий
Кто знает           │ ограниченный     │    широкий
При ИИ              │ ❌ хакеры быстрее│ ✅ легче найти

НО! Даже "баги=баги" теперь под угрозой:
AI анализирует ВСЕ коммиты автоматически →
любой патч может быть обнаружен за часы.

Так что делать?

Честно? Не знаю. Но несколько мыслей вслух:

Во-первых, эмбарго должны быть короткими. Недели вместо месяцев максимум.

Во-вторых, нужно активнее использовать ИИ для защиты, а не только для атаки. Автоматический анализ своих собственных репозиториев должен стать нормой.

В-третьих, прозрачность важнее контроля. Лучше быстро починить и рассказать всем, чем долго скрывать и надеяться на лучшее.

Лично мне ближе подход Linux: чините быстро, не создавайте лишнего шума. Но даже он теперь требует дополнительной защиты от автоматического сканирования.

Мир меняется. То, что раньше работало месяцами, теперь должно работать часами. Это неудобно. Это требует перестройки процессов. Но альтернативы нет.

Ссылки

• Jeff Kaufman — AI is breaking two vulnerability cultures — статья Джеффа Кауфмана
• Подробности об уязвимости Copy Fail — информация об уязвимости
• Обсуждение на Hacker News — обсуждение на Hacker News