Отчёты об уязвимостях больше не событие

24.06.2026 · 5 мин

Знаете, что меня всегда удивляло? Когда разработчик открывает баг-репорт, никто не благодарит его за «ответственный подход к раскрытию информации». А вот когда приходит security-исследователь с уязвимостью — начинается церемония: быстрый ответ, координация раскрытия, публичные благодарности в advisory.

Почему всё изменилось

Раньше уязвимости находили люди. Кропотливый труд исследователей, ручной анализ кода, поиск edge cases. Найти серьёзный баг было искусством. Исследователь давал вам информацию, которую вы сами не нашли, и делал это конфиденциально, чтобы вы успели исправить проблему до того, как о ней узнают атакующие.

Взамен вы были ему должны: быстрый ответ, вежливое общение, упоминание в credits. Это был социальный контракт, основанный на дефиците экспертизы.

СТАРЫЙ И НОВЫЙ МИР
──────────────────
┌───────────────────────┐      ┌───────────────────────┐
│ СТАРЫЙ МИР            │      │ НОВЫЙ МИР             │
│                       │      │                       │
│ Исследователь         │      │ LLM                   │
│ ───────────────▶ Вендор │      │ ───────────────▶ Вендор │
│  редкий эксперт       │      │  доступно всем        │
│ ◀──── спасибо ──────── │      │ ◀──── триаж ───────── │
│  конфиденциальность   │      │  шум и скорость       │
└───────────────────────┘      └───────────────────────┘
Сдвиг от дефицита экспертизы к массовой генерации отчётов

Теперь любой человек с ноутбуком может запустить LLM — большую языковую модель вроде ChatGPT или Claude — и за несколько минут получить список потенциальных уязвимостей в проекте. Качество таких находок часто сопоставимо с работой среднего исследователя, а скорость — несопоставимо выше.

Это уже не теория. Поток отчётов растёт, и среди них много «реальных» в том смысле, что они описывают genuine defect, но при этом имеют неясный impact на типичного пользователя.

Конфиденциальность тоже изменилась

Второй столп «особенности» vulnerability reports — конфиденциальность. Раньше предполагалось, что вендор получает время на исправление до публичного раскрытия.

Но атакующие тоже умеют пользоваться LLM. Они могут взять публичный commit, скормить его модели и спросить: «где здесь уязвимости?». Им больше не нужно ждать full disclosure post.

У атакующих и защитников теперь одна и та же проблема: слишком много потенциальных находок и слишком мало времени на их обработку. Координация раскрытия стала менее критичной, потому что информация уже не является узким местом.

Что это значит на практике

Новая работа security-команд — это триаж, быстрое исправление и профилактика. Не обработка «особых» отчётов от избранных исследователей, а фильтрация сигнала от шума.

Это не значит, что все vulnerability reports — мусор. Среди потока всё ещё встречаются серьёзные находки. Но теперь важнее не церемония, а скорость и качество классификации.

В статье есть жёсткое наблюдение: если вам прислали slop — мусорный отчёт, сгенерированный LLM без понимания контекста, — вы можете просто забанить отправителя и подождать, пока следующий LLM не сгенерирует лучший отчёт на ту же уязвимость. Ещё год назад это казалось бы немыслимым.

Специальные случаи остаются

Некоторые отчёты всё ещё особенные: особенно сложные уязвимости и особенно надёжные источники. Но теперь задача — быстро отделить «особое» от «обычного», а не обрабатывать каждый репорт как событие.

Полезная идея — публиковать threat models, чтобы исследователи понимали, что именно считается ценным вкладом. Это повышает планку для действительно важных отчётов и упрощает триаж для остальных.

СДВИГ ПРИОРИТЕТОВ
─────────────────
┌──────────────────────────┐
│ БЫЛО                     │
├──────────────────────────┤
│ Особое отношение         │
│ Координация раскрытия    │
│ Благодарности            │
├──────────────────────────┤
│ СЕЙЧАС                   │
├──────────────────────────┤
│ Триаж                    │
│ Быстрый фикс             │
│ Профилактика             │
└──────────────────────────┘
Приоритет сместился от церемонии к инженерной обработке потока

Выводы

Для вендоров: не относитесь к security-отчётам как к священным дарам. Это рабочий поток, который нужно обрабатывать эффективно. Инвестируйте в автоматизацию триажа, CI-пайплайны и чёткие критерии приоритизации.

Для исследователей: качество отчёта важнее факта его отправки. Если вы находите то, что LLM не видит, — это по-прежнему ценно. Стандартный output модели уже не делает отчёт особенным.

Для всех нас: безопасность становится менее романтичной и более инженерной дисциплиной. И это, пожалуй, к лучшему.

Мир изменился: LLM сделали экспертизу доступной. Теперь конкурировать нужно не в поиске уязвимостей, а в их исправлении и предотвращении.

Ссылки

Дмитрий Полухин — продуктовый дизайнер. Пишу про разработку, AI и дизайн интерфейсов. Обо мне, контакты и профили.

Что почитать дальше