Команда GitHub мгновенно отреагировала на сообщение о критической уязвимости. В течение 40 минут проблему воспроизвели в тестовой среде и подтвердили её серьёзность.
Инженеры оперативно подготовили и внедрили исправление чуть позже, чем через час после обнаружения. Это позволило защитить как публичную платформу, так и версии Enterprise Server. Расследование показало: атаку использовать не удалось. Полное устранение проблемы заняло менее шести часов.
Уязвимость позволяла злоумышленникам запускать удалённый код и получить доступ к миллионам репозиториев. Обнаружили её специалисты Wiz Research с помощью ИИ-алгоритмов. Точная модель пока не названа, но факт использования искусственного интеллекта для поиска багов в закрытом коде стал историческим моментом.
«Проблема была крайне проста для эксплуатации», — отметили эксперты Wiz. Несмотря на сложность архитектуры GitHub, найти брешь удалось быстро. Исследование получило одно из самых крупных вознаграждений по программе bug bounty и доказало эффективность профессионалов, умеющих задавать правильные вопросы.
0 комментариев