К содержанию
Новости

ИИ массово находит скрытые уязвимости в open source, предупреждают участники коалиции Athena

ИИ массово находит скрытые уязвимости в open source, предупреждают участники коалиции Athena
Фото: The Register

ИИ‑модели, которые используют для поиска уязвимостей, начали находить в open source гораздо больше проблем, чем раньше обнаруживали традиционные инструменты. Это может серьёзно увеличить нагрузку на команды безопасности. Как сообщает The Register, об этом рассказал CEO и сооснователь Chainguard Dan Lorenc. Его компания участвует в создании коалиции Athena, объединения примерно двух десятков компаний. Цель инициативы, упростить поиск и исправление ошибок в открытом коде.

Участники коалиции договорились применять ИИ, чтобы предотвращать атаки на open source‑компоненты. Среди основателей Athena: Chainguard, BNY, Cisco, Cloudflare, Corridor, DepthFirst, Docker, JPMorganChase, Kyndryl, LTM и PwC. Многие из этих компаний также участвуют в программах Anthropic Project Glasswing и OpenAI Daybreak. Эти инициативы дают доступ к продвинутым моделям для поиска уязвимостей. По словам Lorenc, Athena принимает результаты от «frontier‑моделей» разных разработчиков.

По данным Lorenc, коалиция уже обработала более 20 000 обнаруженных проблем и подготовила свыше 2 000 исправлений в 500 open source‑проектах. Примерно через три недели ожидается первая волна публичных раскрытий найденных уязвимостей. Lorenc предупреждает, что по мере использования таких моделей исследователи продолжают находить всё больше проблем в тех же библиотеках и участках кода. Пока нет признаков, что этот поток начинает сокращаться.

Ситуацию усложняет структура современных приложений. По словам Lorenc, около 95 процентов кода в подобных кодовых базах составляют open source‑компоненты. Когда ИИ‑модели находят уязвимости в сторонних библиотеках, компании не могут исправить их напрямую и вынуждены обращаться к сопровождающим проектов. При этом масштаб находок иногда измеряется тысячами ошибок одновременно. Например, в мае Anthropic сообщила, что с помощью Mythos Preview просканировала более 1 000 open source‑проектов и обнаружила оценочно 6 202 уязвимости высокого или критического уровня.

Ключевые факты

  • Athena уже обработала более 20 000 найденных уязвимостей и подготовила свыше 2 000 исправлений в 500 open source‑проектах.

  • Первая волна публичного раскрытия уязвимостей ожидается примерно через три недели.

  • По словам Dan Lorenc, около 95 процентов кода в современных кодовых базах составляют open source‑компоненты.

  • Anthropic в мае сообщила, что Mythos Preview просканировал более 1 000 open source‑проектов и выявил оценочно 6 202 уязвимости высокого или критического уровня.