Категории Нейросети и ИИ

1500 CVE за месяц: Epoch AI связала всплеск багов с моделями Anthropic и OpenAI

1500 CVE за месяц: Epoch AI связала всплеск багов с моделями Anthropic и OpenAI

Исследовательская организация Epoch AI заметила резкий рост уязвимостей, которые попадают в публичные реестры после того, как большие языковые модели начали использовать в поиске багов. По её оценке, число критических и высокоопасных проблем выросло в 3,5 раза. За один месяц 21 организация отчиталась примерно о 1500 CVE, и часть этого скачка Epoch AI связывает с инструментами на базе моделей Anthropic и OpenAI.

В отчёте речь идёт о программах, где LLM используют для анализа кода и поиска ошибок до того, как они станут публичными. Среди них Epoch AI отдельно выделяет инициативы, связанные с Claude Mythos и программой Daybreak. Схема там простая: модель быстро проходит по подозрительным участкам кода, потом человек перепроверяет находку и уже оформляет отчёт для CVE или отправляет его производителю.

При этом исследование опирается на реестр CVE Program и базу cvelistV5. Там учитывается дата публикации записи, а не момент, когда уязвимость реально нашли. И вот тут график легко может «раздуться»: вендор мог долго проверять баг или выпустить сразу несколько исправлений, а в статистике это выглядит как резкий всплеск. Epoch AI отдельно отмечает и ещё один момент — часть роста связана не только с ИИ, но и с тем, как разные CNA меняют саму практику отчётности.

Читайте также:

Один из примеров, который приводят аналитики, — более активная регистрация уязвимостей в экосистеме Linux после изменений в процедуре назначения CVE. Когда крупные проекты начинают фиксировать не только новые ошибки, но и backport-исправления, счётчик растёт очень быстро. Поэтому 1500 записей за месяц не означают, что все они были найдены с нуля только нейросетями.

Сам тренд при этом выглядит вполне реальным. Ещё в 2023 году число опубликованных CVE обновило исторический максимум и приблизилось к 29 тысячам, а в 2024 году крупные игроки уже начали публично показывать, как ИИ помогает искать баги в реальном коде. Google, например, сообщала, что её агент Big Sleep нашёл уязвимость в SQLite до того, как ею успели воспользоваться злоумышленники. На этом фоне вывод Epoch AI читается как признак новой стадии автоматизации: багов может и не стать больше, но находить и оформлять их в индустриальном масштабе стало заметно проще.

Источник: Ixbt
Опубликовано:
Артур Берг