Новый проект Zero-Day Clock наглядно показывает, как быстро ИИ уничтожает буфер времени между обнаружением уязвимости и её использованием хакерами.
В 2021 году с момента публичного раскрытия уязвимости до первой атаки проходил в среднем почти год. В 2026-м — чуть больше суток. По прогнозу авторов проекта, к 2027 году это время сократится до часа, а в перспективе — до одной минуты.
Zero-Day Clock создал Сергей Эпп из Sysdig. Проект подписали большинство крупных технологических и кибербезопасных компаний.
Не менее тревожна статистика ZDC по эксплуатации уязвимостей. Пять лет назад ~60–70% уязвимостей не были использованы в атаках на момент публичного раскрытия — у разработчиков было время выпустить патч. Сегодня эта цифра упала до 25%. Доля так называемых zero-day атак — когда хакеры уже эксплуатируют уязвимость до её официального признания — выросла с 31% до 73%.
Авторы сами оговариваются: они считают только публично известные эксплойты. Частные и государственные могут появляться ещё раньше.
70% уязвимостей — это ошибки работы с памятью. Поэтому один из ключевых советов — переходить с C и C++ на Rust или другие memory-safe языки. Остальные рекомендации: включать все защитные функции по умолчанию, строить системы так, чтобы взломанный сервер можно было быстро восстановить, и давать защитникам доступ к открытым ИИ-инструментам наподобие тех, что уже есть у атакующих.
Брюс Шнайер — один из самых авторитетных специалистов в области кибербезопасности — формулирует главный вывод жёстко: «За последние 150 лет ни одна отрасль не улучшила безопасность без принуждения со стороны государства». Авторы ZDC предлагают сделать производителей ПО юридически ответственными за критические уязвимости.
Также критикуется европейский закон «Stop the Clock», который тормозит внедрение ИИ. Проблема в том, что хакеры законы не соблюдают — и продолжают ускоряться, пока защитники ждут.
