ИИ Находит Больше Ошибок, Чем Команды С Открытым Исходом Могут Бороться

Mythos Anthropic и аналогичные инструменты ИИ могут выявлять угрозы и уязвимости быстрее, чем небольшие команды могут их исправить, подвергая риску Интернет.

В 2025 году Даниэль Стенберг, главный хранитель cURL, программного обеспечения с открытым исходным кодом, который передает данные с помощью URL-адресов, получил 181 уведомление об ошибках или уязвимостях по всей кодовой базе, которую он контролирует, с небольшой командой из шести других добровольцев.

Это примерно столько же, сколько в предыдущие два года вместе взятые. «Прошлый год был довольно интенсивным в периоды», — сказал Стенберг из своего офиса в Швеции.

Оглядываясь назад, эта шишка 2025 года, которую Стенберг объяснил ростом инструментов ИИ, таких как ChatGPT от OpenAI и Клод из Anthropic PBC, и легкость, с которой формы отчетов об ошибках могут быть заполнены с их поддержкой, был просто дегустатором.

К 9 апреля этого года команда cURL уже получила 87 запросов. Это позволяет им получить около 325 отчетов в течение 2026 года, примерно столько же, сколько они получили в общей сложности с 2020 по 2023 год.

Как единственный штатный член проекта cURL, Стенберг обрабатывает большинство запросов и исправляет себя. «Временами это кажется немного подавляющим», — сказал он. Это также ухудшается - и будет продолжать делать это, говорит он, благодаря все более мощным возможностям ИИ.

С открытием последней модели Anthropic, Mythos, заинтересованные стороны от экспертов по безопасности в Казначействе США выразили обеспокоенность по поводу того, может ли Интернет оставаться безопасным. Британские банки получат доступ к Mythos на следующей неделе. Согласно Anthropic, Mythos, объявленный 7 апреля, может автономно обнаруживать и использовать так называемые уязвимости «нулевого дня» — слабые места в коде, которые еще не были обнаружены — в каждой основной операционной системе и веб-браузере. «Последствия — для экономики, общественной безопасности и национальной безопасности — могут быть серьезными», — говорится в сообщении компании.

В рамках упреждающих усилий по сдерживанию любого потенциального воздействия Anthropic решила не выпускать Mythos широко, вместо этого предоставив доступ к тем, кто поддерживает основной код примерно в 40 организациях, включая CrowdStrike Holdings Inc. и Linux Foundation. Он также объявил о выделении 4 миллионов долларов на финансирование группы сопровождения программного обеспечения. Во вторник OpenAI анонсировала собственную модель GPT-5.4-Cyber, которая, по ее словам, направлена на выявление уязвимостей программного обеспечения.

Тем не менее, пожертвование Anthropic - крошечная часть ее последнего дохода в размере 14 миллиардов долларов - просто подчеркнуло один из больших секретов в крупных технологиях: что текущие заоблачные оценки сектора зависят, по крайней мере частично, от программного обеспечения с открытым исходным кодом, поддерживаемого небольшими командами с недостаточным ресурсами.

Есть надежда, что Mythos, поставленный в правильные руки, сможет решить проблемы до того, как другие модели ИИ найдут их. На данный момент, однако, по мере того, как кибер-нападающие и защитники стремятся принять ИИ, эти команды рискуют стать узким местом, а их рабочая нагрузка растет быстрее, чем их способность реагировать.

Массовый приток

По мере поддержания кода и исправления ошибок он накапливает то, что сопровождение программного обеспечения называет «крофтом» — остатки устаревшего кода, оставшиеся в программном обеспечении, которое может ломать вещи или эксплуатироваться. Стенберг и его команда должны понимать и быть готовыми поддерживать все это. Общая кодовая база cURL теперь составляет 592,566 строк, и небольшое обновление одного компонента может вызвать проблемы в других местах. Отслеживание сложного взаимодействия - это то, что делает их работу такой сложной.

Иногда эти вещи могут пойти не так, с катастрофическими последствиями. Массовые перебои в работе интернета, которые, по-видимому, возникают каждый год или два, были связаны с человеческими ошибками в кодировании, в то время как почти промахи также могут иметь длительные последствия. Уязвимость в библиотеке Java с открытым исходным кодом, обнаруженная в 2021 году, затронула 93% всех облачных сред и до сих пор используется там, где она не исправлена.

Иллюстрация: Альваро Бернис для Bloomberg

Двенадцать лет назад в коде OpenSSL, защищенного набора инструментов связи, был обнаружен серьезный баг, который, среди прочего, позволяет веб-сайтам показывать вам, что крошечный желтый замок, чтобы доказать, что ваши покупки были безопасными. Ошибка действовала более двух лет, прежде чем она была обнаружена в День дурака 2014 года исследователем Google Нилом Мехтой. Уязвимость, получившая название Heartbleed, затронула тысячи веб-сайтов, сделав их уязвимыми для взлома. Очистка проблемы — быстро, прежде чем хакеры смогли использовать ее — в значительной степени была работой для двух парней по имени Стив.

«Существует такой закон о силовых услугах», где только небольшое количество людей выполняют огромное количество работ по техническому обслуживанию, сказал Джим Землин, исполнительный директор Linux Foundation, который создал Инициативу по основной инфраструктуре в ответ на Heartbleed. В 2020 году усилия Linux Foundation были сложены в недавно запущенный межотраслевой орган, Open Source Security Foundation (OpenSSF).

Сердцебиение было обнаружено, потому что один человек с орлиными глазами случайно обнаружил проблему с кодом. С момента выпуска ChatGPT в 2022 году и широкого использования генеративных инструментов ИИ, таких как Claude Code и Codex, способность пробираться через строки кода для решения проблем резко возросла, как и способность хакеров использовать ИИ для выявления реальных уязвимостей. Таким образом, массовый приток багов сообщает о столе таких людей, как Даниэль Стенберг.

Стенберг не одинок. Сопровождающие программное обеспечение, поддерживающие основные части наших цифровых миров, начали заваливаться оповещениями об угрозах. Вилли Тарро, ведущий разработчик программного обеспечения в HAProxy, который балансирует нагрузку на веб-трафик, написал, что множество отчетов «немного пугает (и утомительно)». Разработчик с открытым исходным кодом Дирк Хондел приравнял его к DDoS-атаке (распределенный отказ в обслуживании) на разработчиков. Матей Чепл, инженер SUSE, компании по разработке программного обеспечения для Linux, описал количество сообщений об ошибках, которые он и его коллеги получают, как «сумасшедшие».

Возникните, Мифы

С конца 2025 года все изменилось. Качество и количество увеличилось. Автономные агенты ИИ теперь находят ошибки в коде, а затем заполняют формы, чтобы сообщить о них.

«Эти инструменты ИИ теперь довольно хорошо подходят для точного поиска проблем», - сказал Стенберг, который сказал, что более 200 проблем, обнаруженных с помощью инструментов ИИ, были исправлены в cURL за последние шесть месяцев.

Проблема в том, что, хотя число глаз ИИ, ищущих проблемы, увеличилось, число людей, решающих эти проблемы, когда они возникают, не увеличилось. И до сих пор люди по-прежнему являются последним звеном в цепочке, даже несмотря на то, что возможности автономного написания кода ИИ увеличиваются в геометрической прогрессии.

Мифы могут в конечном итоге облегчить нагрузку на сопровождающих, обеспечив код для миллионов пользователей, которые полагаются на него. В дни, прошедшие после его выпуска, он уже оказался необходимым. Джим Землин дал ранний доступ членам Mythos своей команды, в том числе Грегу Кроа-Хартману, который поддерживает Linux, компьютерную операционную систему. Кроа-Хартман ранее говорил, что он заметил, что «мир переключился» в феврале, когда ИИ начал сообщать о реальных проблемах в масштабе.

«Грэг говорит мне: «Эта вещь полезна при действительном исправлении ошибок», — сказал Землин. Отсюда и пошаговое освобождение Anthropic для «хороших парней» в первую очередь. «Вчера я спросил Грега, могу ли я забрать [его доступ к мифам]», — добавил он. Он сказал: «Нет, пожалуйста, не надо».

«На мой взгляд, все, что угодно, любой инструмент, который может помочь сопровождающему сотруднику писать и исправлять более безопасное программное обеспечение, — это добро», — сказал Землин.

Специалистам по безопасности, таким как Стенберг, возможно, придется надеяться, что Миф приходит хорошо. Уже сейчас «баунти» программы, которые платят этическим хакерам за то, что они сообщают об ошибках, а не эксплуатируют их, отменяются под тяжестью отчетов, созданных ИИ. В марте Google сделал паузу в своей программе вознаграждений за уязвимость программного обеспечения с открытым исходным кодом. Программа Internet Bug Bounty недавно приостановила новые представления, заявив, что «ландшафт открытий меняется».

Проблема в том, что если Mythos будет столь же эффективным, как предполагают ранние сигналы, волна внешних отчетов о проблемах с кодом может вскоре стать потоком внутренних. (И если это окажется в руках плохих актеров, впереди большие проблемы: Институт безопасности ИИ Великобритании, поддерживаемый общественностью, проверил возможности Mythos на этой неделе и обнаружил, что он намного быстрее, чем хакеры-люди.) Это окажет еще большее давление на тех людей, которые все еще сохраняют надзор, даже в эпоху мифов.

Только в пасхальное воскресенье Стенберг говорит, что получил пять сообщений о безопасности. Он не спал допоздна, чтобы справиться с ними, отправив обновление, когда он закончил, в небольшой список рассылки: «Еще одна напряженная неделя заканчивается».

Стенбергу требуется в среднем около двух часов, чтобы решить каждую проблему, которая поступает в его почтовый ящик. Некоторые сложные проблемы, выявленные ИИ, занимают больше времени.

«Я боюсь, что это не является устойчивым», — сказал он. «Мы должны оставаться в здравом уме и оставаться в живых».

Телеграм: t.me/ainewsline

Источник: www.bloomberg.com

Комментарии: