Anthropic
Генерация кодаClaude MythosAnthropicкибербезопасностьCVEbug bounty

ИИ нашёл 1500 критических уязвимостей за месяц: индустрия не справляется

Сергей Сергеев, редактор gen-hub.ru
Сергей Сергеев
Редактор gen-hub.ru
·5 мин чтения
ИИ нашёл 1500 критических уязвимостей за месяц: индустрия не справляется

Когда ИИ открыл охотничий сезон

Представьте: вы сидите в команде безопасности крупной компании, и в один прекрасный апрельский день ваш почтовый ящик начинает буквально захлёбываться от отчётов об уязвимостях. Не десятки — сотни. Не в год — в неделю. Именно это произошло с индустрией кибербезопасности после того, как Anthropic выпустил свою модель Claude Mythos Preview — и ИИ-охота на баги вышла из лабораторий в реальный мир.

По данным исследовательской организации Epoch AI, в июне 2026 года 21 организация задокументировала около 1500 высококритических и критических уязвимостей (CVEs) — это более чем в 3,5 раза превышает предыдущий месячный рекорд. Цифра сама по себе ошеломляет. Но куда важнее то, что происходит за ней: индустрия просто не готова переваривать такой поток.

Что запустило лавину

Отправная точка — апрель 2026 года, когда Anthropic анонсировал программу «Glasswing» на базе Claude Mythos Preview. Модель, по заявлению компании, способна автономно находить и эксплуатировать так называемые «zero-day» уязвимости — бреши, о которых разработчики ещё не знают — во всех основных операционных системах. Anthropic намеренно закрыл доступ к модели, передав её лишь избранному кругу партнёров под предлогом «защиты критической инфраструктуры».

Результат программы Glasswing на сегодняшний день — более 10 000 высококритических уязвимостей. При этом сама компания признаётся, что опубликовала лишь ничтожную долю: менее 1% найденных потенциальных брешей прошли полный цикл патчинга. Остальные ждут своей очереди. Anthropic объясняет это заботой о разработчиках — мол, не хочет «затопить» их неуправляемым объёмом работы. Критики, впрочем, называют происходящее красивым PR-ходом.

Параллельно OpenAI запустил собственную программу под названием «Daybreak», которая, по всей видимости, тоже вносит вклад в общий поток отчётов. Два крупнейших игрока ИИ-рынка фактически объявили гонку вооружений в кибербезопасности.

Инфраструктура трещит по швам

Проблема не только в количестве — проблема в том, что принимающая сторона оказалась катастрофически не готова. Zero Day Initiative, крупнейшая независимая программа вознаграждения за найденные уязвимости, зафиксировала рост числа заявок на 490% по сравнению с апрелем прошлого года. Dustin Childs, руководитель направления по информированию об угрозах в ZDI, констатирует: организации попросту не успевают обрабатывать входящий поток.

Некоторые предпочли капитулировать. Internet Bug Bounty Program — одна из старейших программ ответственного раскрытия уязвимостей — в конце марта 2026 года полностью закрыла приём заявок. HackerOne, администрировавший программу, признал, что текущая модель несовместима с реальностью ИИ-эпохи. Это не технический сбой — это системный кризис.

Даниэль Стенберг, ведущий разработчик проекта cURL, также был вынужден приостановить работу своей программы bug bounty — не выдержав потока низкокачественных и неподтверждённых отчётов. Парадокс: ИИ находит настоящие баги, но вместе с ними генерирует столько шума, что отделить сигнал от помех стало отдельной нетривиальной задачей.

Находить — не значит чинить

Здесь кроется фундаментальное противоречие новой реальности. Один из экспертов, работавший в Microsoft Security Response Center, ёмко сформулировал суть проблемы: раньше отчёты об уязвимостях приходили весь день — с приходом ИИ их стало в 100-200 раз больше, но при этом добавилось огромное количество «шума». Если уязвимость не имеет чёткого CVE-идентификатора, реальной демонстрации эксплойта и готового патча — она, скорее всего, так и останется незакрытой.

CEO компании Socket Феросс Абукхадиджех точно описывает ситуацию: «Обнаружение стало драматически дешевле. Всё остальное — нет». Найти дыру в коде — это теперь задача для машины. Верифицировать находку, написать патч, протестировать его, согласовать с мейнтейнером и задеплоить — по-прежнему требует человека. А людей больше не становится.

Независимый исследователь безопасности Джозеф Тэкер, активно использующий ИИ в своей работе, признаёт: за последний год он сдал втрое больше отчётов, чем обычно. По его оценке, крупные компании вроде Google в этом году потратят на выплаты по bug bounty в 2-10 раз больше, чем в прошлом. Технологические гиганты это выдержат — большинство компаний нет.

Атакующие тоже не дремлют

Если думаете, что ИИ-охота на баги — это исключительно история про защитников, вы ошибаетесь. Google зафиксировал реальный случай: известные киберпреступные группировки использовали ИИ-инструменты для разработки эксплойта под zero-day уязвимость в популярной open-source платформе системного администрирования. Целью был обход двухфакторной аутентификации. Уязвимость устранили быстро — но прецедент создан.

Джон Халтквист из Google Threat Intelligence Group комментирует лаконично: «Мы все предполагали, что это уже происходит. Теперь у нас есть первые доказательства». Гонка вооружений стала реальностью — и атакующие получили те же инструменты, что и защитники.

Что дальше: новые правила игры

Сложившаяся ситуация ставит под сомнение один из краеугольных принципов кибербезопасности — правило 90-дневного ответственного раскрытия. Этот стандарт, продавленный Google Project Zero ещё в 2010-х, исходил из предположения, что у разработчиков есть три месяца на патч, прежде чем информация станет публичной. Но исследователи уже прямо говорят: этот стандарт создавался для мира, где уязвимости находили редко и медленно. Этот мир закончился.

Для российских разработчиков и команд безопасности происходящее имеет прямые последствия: отечественные продукты и open-source проекты с российскими контрибьюторами также попадают под сканирование ИИ-систем. Anthropic и OpenAI работают с западными партнёрами, однако уязвимости в широко используемых библиотеках — универсальны. Если ваша инфраструктура зависит от компонентов с открытым кодом, стоит ожидать CVE-уведомлений даже по проектам, которые годами считались стабильными.

Мы наблюдаем не просто технологический сдвиг — мы наблюдаем смену эпох в кибербезопасности. ИИ сделал обнаружение уязвимостей масштабируемым и дешёвым. Следующий вызов — сделать таким же патчинг. Пока этого не произошло, индустрия будет жить в состоянии управляемого хаоса.

*Данная информация подтверждена несколькими независимыми публикациями и исследованиями в области кибербезопасности.*

Все эти инструменты — уже на Genova-ai

Картинки, видео, музыка, голос и ИИ-чат в одном месте. Без VPN и зарубежных карт.

Картинки
Видео
Музыка
Голос
ИИ-чат
Попробовать бесплатно

Похожие новости