Джефф Кауфман: ШІ одночасно руйнує дві культури вразливостей у сфері безпеки, а 90-денний період заборони постачання обертається протилежним ефектом

Програмний інженер Джефф Кауфман (jefftk) 8 травня опублікував статтю «AI is Breaking Two Vulnerability Cultures» і заявив, що AI одночасно руйнує дві усталені культури поводження з уразливостями, які довго співіснували, — узгоджене розкриття (coordinated disclosure) та «глухі виправлення» («bugs are bugs») — обидві стратегії спиралися на припущення про «повільну швидкість виявлення атакувальниками», і що це припущення вже подолане автоматизованими технологіями сканування на базі AI. Оригінальний допис Кауфмана в блозі та на Hacker News набрав понад 200 балів гарячої активності й є одним із найобговорюваніших у галузевій спільноті цього тижня матеріалів про безпеку.

Дві культури вразливостей: узгоджене розкриття vs «глухі виправлення»

Кауфман систематизував два культурні каркаси:

Узгоджене розкриття (coordinated disclosure) — дослідник приватно повідомляє розробників і надає типовий 90-денний часовий коридор на виправлення, після чого робить публічне розкриття. За цим стоїть припущення: атакувальникам потрібен час, щоб незалежно знайти ту саму вразливість

«Bugs are Bugs» глухі виправлення — поширений підхід у відкритих проєктах зокрема на Linux: під час патчу не особливо позначають його як безпекове виправлення, «затоплюють» релізи з уразливостями потоком внесків, щоб убезпечувальні виправлення залишалися непомітними, і уникають привертання уваги з боку атакувальників

Раніше ці дві культури могли співіснувати, бо в атакувальників не було «швидких, автоматизованих і недорогих» інструментів, які сканують усю історію внесків або одночасно шукають ту саму вразливість. AI змінює це припущення.

Удар AI по «глухих виправленнях»: сканування commit стає дешевим

Конкретний вплив AI на відкриті проєкти у стилі Linux:

Раніше: атакувальникам потрібно було послідовно переглядати внески, на це витрачали багато людської праці та часу; «затоплення» обсягом внесків було ефективним маскуванням

Тепер: AI може за низькою ціною сканувати історію внесків, автоматично розпізнавати commit, які «схожі на безпекове виправлення», навіть якщо автор не проговорює це прямо

Наслідок: прихованість глухих виправлень швидко втрачає дієвість, а буферний період «після виправлення до розгортання» стискається

Кауфман наводить конкретний приклад: «перегляд commit (examining commits) стає дедалі привабливішим», бо оцінка кожної зміни для AI «стає дедалі дешевшою й дедалі ефективнішою». Це означає, що в майбутньому відкриті проєкти не зможуть більше покладатися на традиційну перевагу: випереджати увагу атакувальників завдяки більш швидким темпам виправлень.

Удар AI по узгодженому розкриттю: 90-денний ембарго починає давати зворотний ефект

Ключова ідея культури узгодженого розкриття — «ембарго» (embargo): дослідник зобов’язується не публікувати інформацію до того, як розробники встигнуть виправити. Але AI дозволяє кільком командам синхронно сканувати однакові вразливості:

Конкретний приклад: дослідник Хюнву Кім (Hyunwoo Kim) повідомив про певну вразливість — і вже через 9 годин її незалежно виявили інші

Кілька команд із допомогою AI працюють паралельно й узгоджено, тож довге ембарго натомість дає «хибне відчуття не терміновості»

Якщо інші можуть знайти це за 9 годин, то 90-денне ембарго насправді надає справжнім атакувальникам вікно атаки на 89 днів 23 години

Висновок Кауфмана: у майбутньому слід використовувати «дуже коротке ембарго» (very short embargoes), і що більше зростатимуть можливості AI, то коротшим воно має бути. Важливо, що прискорення завдяки AI не лише вигідне атакувальникам: захисники теж можуть використовувати AI для прискорення виправлень і розгортання, і обидві сторони змагатимуться в межах стиснутого часового вікна.

Подальші події, за якими варто стежити: чи оновлюватимуть великі проєкти на кшталт Linux Kernel і Project Zero рекомендації щодо термінів розкриття; як просувається комерціалізація інструментів автоматизованого сканування вразливостей на базі AI (Semgrep, CodeQL тощо); і які конкретні стратегії протидії «AI як двосічний меч» застосовуватимуть підрозділи кібербезпеки в компаніях.

Ця стаття Jeff Kaufman: AI одночасно руйнує дві культури безпекових уразливостей, а 90-денне ембарго починає давати зворотний ефект вперше з’явилася на Сайті про блокчейн ABMedia.