ИИ находит баги за минуты. Доказать, что они реальны, может только человек.
Команды безопасности захлёбываются в сгенерированных ИИ отчётах об уязвимостях, которые выглядят убедительно, но рассыпаются при первой попытке их воспроизвести. Старое правило остаётся в силе: покажи работу или отступи.

Ключевые моменты
- Инструменты безопасности на основе ИИ могут проанализировать всю кодовую базу за минуты — задачу, которая раньше занимала у квалифицированного аналитика неделю.
- Платформы охоты на уязвимости, которые выплачивают вознаграждения исследователям, нашедшим реальные баги, сообщают о наплыве сгенерированных ИИ отчётов, оказывающихся подделками.
- Разработчик проекта curl открыто рассказывал о том, что его захлёстывает волна отполированных отчётов об ошибках, которые не выдерживают тестирования.
- Валидная находка в области безопасности требует работающей демонстрации, а не просто описания, и это всегда было так.
- Владельцы малого бизнеса, получившие письма о «критических багах», должны попросить живую демонстрацию на тестовом аккаунте, прежде чем что-либо предпринимать.
Как первым сообщил ThreatVectr, мир исследований безопасности столкнулся с простой проблемой: инструменты ИИ очень хорошо выглядят уверенно, а уверенность — это не то же самое, что правильность.
Вот как на самом деле выглядит новый процесс. Исследователь безопасности запускает инструмент на основе ИИ, использующий большую языковую модель (такую же технологию, которая питает чат-боты вроде ChatGPT), для чтения программного кода. Инструмент резюмирует функции программы, отмечает подозрительные функции и даже составляет примеры атак, называемые payload-ами, которые исследователь может запустить против живой системы. То, что раньше заняло бы дни, теперь занимает день.
Эта скорость действительно полезна. Никто это не оспаривает.
Проблема в том, что происходит дальше. Большая языковая модель не знает, когда она гадает. Она опишет уязвимость уверенным техническим языком, выдумает название функции, которой нет в реальном коде, и предложит атаку, которая никогда не тестировалась на реальной системе. Каждый из этих отчётов приземляется в чьём-то почтовом ящике.
Какова стоимость для реальных людей?
Это стоит времени — того самого ресурса, которого у команд безопасности меньше всего. Каждый фальшивый отчёт должен быть проверен, то есть аналитик должен его внимательно прочитать, попытаться воспроизвести описанный баг, а затем объяснить, почему его нет. Умножьте это на сотни сгенерированных ИИ отправок в неделю, и вы израсходуете ровно тот ресурс, который пытались защитить.
Добровольцы, поддерживающие популярное открытое программное обеспечение, инструменты, которые используют миллионы людей и компаний ежедневно, чувствуют это особенно сильно. Разработчик curl, широко используемого инструмента передачи данных, публично заявил, что галлюцинации, созданные ИИ (выдумки, которые модель производит с полной уверенностью), поглощают время, необходимое для реальной работы.
Платформы охоты на уязвимости сообщают об одной и той же картине. Платите исследователям за реальные находки — и вдруг появляется финансовый стимул заполнить очередь сгенерированными ИИ предположениями.
Стандарт, который на самом деле имеет значение, не изменился. Валидная находка означает работающую демонстрацию: точные шаги, точная версия программного обеспечения и желательно proof-of-concept, короткий код или конкретная последовательность входных данных, которая надёжно вызывает баг. Проза без доказательств — это просто предположение в белом халате.
Единственный честный вывод: если кто-то пишет вашему бизнесу письмо о том, что нашёл критический баг на вашем сайте, попросите его продемонстрировать это на тестовой среде. Легитимные исследователи ожидают такого запроса. Те, кто ловит рыбу на быструю выплату, редко соглашаются.



