ИИ сократил время взлома уязвимостей с года до одного дня – и это не предел

Мир кибербезопасности в напряжении от новостей про инструменты с ИИ, находящие уязвимости быстрее, чем когда-либо. Даже нетехнические издания обсуждали бота Mythos от Anthropic, который уже называют "супероружием".

Индустриальный стандарт 90-дневного окна для раскрытия уязвимостей стремительно устаревает, и для понимания масштабов проблемы нужны не красивые слова, а конкретные цифры.

Именно их предоставляет проект Zero-Day Clock (ZDC), наглядно демонстрирующий последствия слабой защиты программного обеспечения. Сайт создал Сергей Эпп из Sysdig, а в число подписантов инициативы вошли практически все крупные технологические и кибербезопасные компании.

Суть проста и пугающа – средний промежуток времени между обнаружением уязвимости и её эксплуатацией сократился с почти года в 2021-м до чуть более одного дня в 2026-м. По прогнозу ZDC, в 2027 году этот показатель упадёт до одного часа, а со временем и до одной минуты.

Ещё один тревожащий график касается доли zero-day эксплойтов, когда злоумышленники уже используют уязвимость до её официального раскрытия. Пять лет назад таких случаев было 31%, а сегодня уже 73,2%. Доля неэксплуатируемых уязвимостей рухнула с 60–70% в 2021 году до 25% на момент раскрытия.

Если посмотреть на динамику по оси времени, картина становится ещё мрачнее. Сейчас крайне мало уязвимостей остаются неиспользованными дольше нескольких недель, а после шестинедельной отметки эксплуатируются абсолютно все. Для сравнения, в прошлом году около 24% уязвимостей оставались нетронутыми и после этого срока.

Важный момент – используемый датасет охватывает только публично раскрытые уязвимости с известными случаями эксплуатации. Исследователи ZDC напоминают, что отслеживают лишь видимую часть айсберга, цитируя: "мы фиксируем только публично известные эксплойты. Частные или государственные эксплойты могут существовать и раньше".

Исследователи опубликовали призыв к действию. Среди простых рекомендаций – включать все функции безопасности по умолчанию в каждой прошивке, программе, фреймворке и аппаратной платформе, а также повсеместно применять архитектуру нулевого доверия. Так как 70% уязвимостей связаны с ошибками управления памятью, переход с C и C++ на Rust или другой memory-safe язык называют обязательным.

ZDC также советует проектировать системы так, чтобы они были "одноразовыми" по умолчанию, позволяя легко восстановить скомпрометированную машину.

Раз ИИ-боты усиливают атакующих, защитникам нужны бесплатные и открытые ИИ-инструменты, своего рода открытый аналог Mythos, дающий полное знание о собственных системах, исходниках и логах.

Дальше идут более сложные предложения. Главное из них – ввести юридическую ответственность производителей ПО за уязвимости, наносящие ущерб.

Известный эксперт по кибербезопасности Брюс Шнайер поясняет:

Ни одна индустрия за последние 150 лет не улучшала безопасность, пока её не заставляло правительство.

Шнайер добавил, что небезопасный, технически слабый продукт, вышедший на рынок первым или более удобный в использовании, всегда побеждает более качественно сделанных конкурентов.

Также есть призыв пересмотреть законы об ИИ вроде европейского "Stop the Clock", которые тормозят защитников, тогда как атакующие просто игнорируют любые регуляции.

Cloudflare назвала рассуждения ИИ Claude Mythos "работой уровня старшего исследователя"

Anthropic запустила Claude for Small Business – 15 готовых сценариев и интеграция со сторонними системами

ZDC считает, что безопасность ПО должна стать геополитическим приоритетом и общественной проблемой с соответствующим финансированием. Наконец, исследователи призывают включать специалистов по кибербезопасности в законотворческий процесс, так как пишущие законы зачастую не понимают предмета регулирования.