Когда исследователь находит уязвимость, индустрия живёт по негласному правилу: сообщи вендору, дай 90 дней на патч, потом публикуй. Этот стандарт популяризировал Google Project Zero. Теперь он устарел.
Химаншу Ананд, аналитик безопасности Cloudflare и многолетний участник хакерских соревнований DEF CON, задокументировал три реальных случая, которые показывают: всё, на чём держалась логика 90 дней, сломалось.
Одна уязвимость, 11 репортов за шесть недель
Ананд нашёл баг в интернет-магазине — можно было купить что угодно за ноль рублей. Когда он отправил репорт, оказалось, что он был одиннадцатым. Сотрудник поддержки объяснил: как только кто-то находит уязвимость с помощью ИИ, волны почти одинаковых репортов приходят в течение нескольких дней. Если десять честных исследователей нашли одно и то же — сколько нашли и промолчали?
30 минут от патча до эксплойта
Ананд скачал diff патча для React, попросил языковую модель помочь с анализом и через 30 минут получил рабочий эксплойт. Раньше опытные реверс-инженеры тратили на это дни. Окно между выходом патча и появлением атаки фактически исчезло.
Linux, иранские хакеры и сломанное эмбарго
В конце апреля команда Xint Code нашла уязвимость в ядре Linux за час работы ИИ-инструмента. Скрипт в 732 байта даёт root-доступ на практически любом дистрибутиве, выпущенном с 2017 года. Через несколько дней её уже эксплуатировали иранские группировки для DDoS-атак.
Параллельно исследователь Хёнву Ким договорился с дистрибутивами Linux о пятидневном эмбарго — чтобы все успели подготовить патчи. Эмбарго сломалось через несколько часов: третьи стороны, независимо нашедшие тот же класс уязвимостей, опубликовали их раньше. Ни один дистрибутив не успел. Microsoft подтвердила активную эксплуатацию через 24 часа.
Что делать
Ананд даёт конкретные рекомендации: вендорам — относиться к критическим багам как к P0-инцидентам и фиксить немедленно, а не ждать следующего спринта. Исследователям — требовать сокращения сроков раскрытия. Администраторам — накатывать патчи сразу, не ждать планового окна обслуживания.
Атакующие уже используют ИИ в своих пайплайнах. «Прямо сейчас атакующие выигрывают эту гонку», — пишет Ананд.
