Открытое ПО становится обоюдоострым оружием: ИИ использует доступность кода и для защиты, и для атак. Mozilla выпустила 423 исправления за апрель. Закрытое ПО под ударом: ИИ эффективен в декомпиляции и сканировании сетей.
"90-дневное окно раскрытия уязвимостей мертво", — заявил исследователь Химаншу Ананд. Он создал эксплойт за 30 минут с помощью ИИ. Многие исследователи находят одни и те же уязвимости за дни.
ИИ распознает повторяющиеся ошибки кода. Ананд продемонстрировал на React, собрав эксплойт за 30 минут. Он нашел уязвимость в интернет-магазине, позволявшую покупать товары бесплатно — о ней уже сообщили 10 других.
Специалисты с ИИ сходятся на одинаковых ошибках. Другой расследователь видит волну дублирующихся отчетов за дни. Повод — уязвимости Copy Fail и Dirty Frag в ядре Linux, раскрытые до 90 дней из-за активной эксплуатации.
Ананд призывает относиться к каждой критической уязвимости как к P0, исправлять немедленно и встроить ИИ в проверку кода. Пока разработчик читает CVE, злоумышленник изучает git log — и выигрывает.
0 комментариев