Исследователь: языковые модели размывают смысл 90‑дневного окна раскрытия уязвимостей

Исследователь безопасности Химаншу Ананд утверждает, что практика давать вендору до 90 дней на подготовку и распространение патча перестала защищать пользователей: генеративные языковые модели позволяют одновременно многим исследователям и злоумышленникам находить одни и те же ошибки и быстро создавать эксплойты. Это ускорение сокращает временное преимущество вендора и повышает риск массовой эксплуатации уязвимостей уже в первые часы после публикации патча.

В первом из трёх описанных Анандом примеров, произошедшем в апреле, уязвимость в интернет‑магазине позволяла завершать покупки за ноль долларов; Ананд оказался одиннадцатым человеком, сообщившим о той же проблеме в течение шести недель. Наличие столь большого числа независимых репортов в короткий срок показывает, что одинаковые баги теперь находят одновременно множество людей, что делает традиционные очереди открытия и исправления нерелевантными.

Во втором примере Ананд подробно описывает случай с React: после выхода нескольких патчей он скачал diff исходного кода и с помощью языковой модели собрал рабочий эксплойт примерно за 30 минут — тогда как ранее на такую обратную инженерию и написание рабочего кода уходили дни. Этот кейс демонстрирует, что наличие патч‑диффа в сочетании с генеративной моделью превращает теоретическую защиту в реальную угрозу за считанные часы.

Третья группа инцидентов связана с ядром Linux. Команда Xint Code опубликовала «Copy Fail», найденный после часа AI‑сканирования; 732‑байтный скрипт давал права root для большинства дистрибутивов вплоть до 2017 года, и через несколько дней иранские угрозостроители использовали его для захвата серверов в DDoS‑кампаниях. Похожая история с «Dirty Frag»: исследователь Хёнву Ким договорился о пятирадневном эмбарго с дистрибуциями, но детали были сломаны в течение часов, и Microsoft Defender подтвердил активную эксплуатацию в течение 24 часов.

Ананд сводит проблему к четырём ключевым допущениям, на которых базировалась 90‑дневная схема, и показывает, почему каждое из них больше не выдерживает: (1) первооткрыватель не остаётся единственным; (2) параллельные исследователи не тянут с публикацией; (3) вендор якобы имеет комфортный временной отрыв для подготовки исправления; (4) обратная инженерия патча требует дней или недель. Примеры с React и ядром Linux, по его мнению, опровергают особенно третье и четвёртое допущения, а волны идентичных репортов подрывают первые два.

Практические последствия, которые предлагает Ананд, — немедленный пересмотр процедур работы с критическими уязвимостями: такие случаи следует рассматривать как чрезвычайные ситуации, сократить сроки раскрытия и требовать от администраторов быстрого развёртывания исправлений. Он также задаёт ключевой вопрос о том, сколько подобных уязвимостей окажутся у тех, кто молчит, и как это увеличивает риск эксплуатации — вопрос, который требует пересмотра политики эмбарго и координации между исследователями и поставщиками ПО.