По данным Bloomberg, коллективы, поддерживающие проекты с открытым кодом, столкнулись с небывалым наплывом сообщений об уязвимостях, которые генерируются системами искусственного интеллекта. Такие продвинутые ИИ, как Mythos от Anthropic, обнаруживают изъяны в программном обеспечении быстрее, чем разработчики успевают их устранять, что создаёт серьёзную угрозу для кибербезопасности в мировом масштабе.
Источник изображения: AI
Дэниел Стенберг (Daniel Stenberg), ведущий сопровождающий проекта cURL, рассказал, что в 2025 году его команда получила 181 отчёт об ошибках — столько же, сколько за два предыдущих года вместе. К апрелю 2026 года таких сообщений уже накопилось 87, и если тенденция сохранится, их годовой объём может приблизиться к 325. Стенберг отметил, что справляется с работой практически в одиночку, будучи единственным полнозанятым участником проекта, и подтвердил резкое увеличение нагрузки. Специалисты объясняют этот скачок распространением инструментов вроде ChatGPT и Claude, которые сделали поиск дефектов и оформление отчётов гораздо проще.
Положение дел осложняется выходом новой модели Mythos от Anthropic, которая может самостоятельно находить и использовать уязвимости нулевого дня в ключевых операционных системах и браузерах. Опасаясь масштабных последствий для экономики и безопасности, создатели решили не публиковать модель для всех, а предоставили доступ лишь избранным организациям, включая CrowdStrike и Linux Foundation. Одновременно компания заявила о выделении 4 миллионов долларов на помощь командам, сопровождающим программное обеспечение.
Зависимость технологической отрасли от открытого кода, который поддерживается небольшими и слабо финансируемыми коллективами, становится всё более очевидной проблемой на фоне высоких рыночных оценок ИТ-гигантов. Нагрузка на эти команды увеличивается быстрее, чем их реальные возможности по устранению уязвимостей, что подвергает риску устойчивость интернет-сервисов. Впрочем, есть надежда, что применение модели Mythos позволит исправлять проблемы ещё до того, как ими воспользуются злоумышленники.
Ситуация осложняется наслоением устаревших программных фрагментов, способных таить в себе незамеченные дефекты и бреши в безопасности. Возьмём, к примеру, код cURL: его объём уже перевалил за 592 тысячи строк, и даже незначительная модернизация отдельного модуля рискует нарушить работу смежных компонентов. Прошлые инциденты, вроде уязвимости Heartbleed в OpenSSL, наглядно продемонстрировали, к каким масштабным последствиям могут привести ошибки, долгое время остававшиеся незамеченными.
Широкое распространение генеративного искусственного интеллекта спровоцировало настоящий поток автоматически созданных отчётов, из-за чего программы поощрения за обнаружение уязвимостей — такие как инициативы Google и Internet Bug Bounty — были вынуждены временно прекратить приём заявок. Эксперты характеризуют сложившуюся обстановку как своеобразную DDoS-атаку, нацеленную непосредственно на команды разработчиков. Представители ведущих компаний, включая HAProxy и SUSE, подтверждают, что объём поступающих данных стал пугающе большим и практически неподъёмным для обработки.
Несмотря на существующие угрозы, раннее использование продвинутых ИИ-инструментов уже сейчас помогает видным специалистам отрасли — таким как Грег Кроа-Хартман, отвечающий за поддержку ядра Linux, — оперативнее устранять действительно критические проблемы. Однако человеческий фактор по-прежнему играет ключевую роль. Например, Стенберг отмечает, что на разбор каждого отчёта у него уходит в среднем по два часа, и он продолжает эту работу даже в выходные. Он открыто говорит о том, что сохранять такой ритм невозможно, и подчёркивает: назрели безотлагательные перемены, необходимые для защиты здоровья и устойчивой работоспособности разработчиков открытого ПО.
