Как стало известно агентству Bloomberg, небольшие группы разработчиков программного обеспечения с открытым исходным кодом испытывают беспрецедентный рост количества получаемых ими отчетов об уязвимостях, созданных искусственным интеллектом. Мощные модели искусственного интеллекта, такие как Mythos от Anthropic, обнаруживают ошибки быстрее, чем эксперты могут их исправить, что представляет серьезную угрозу глобальной интернет-безопасности.
Дэниел Стенберг, ведущий менеджер по поддержке проекта cURL, сообщил, что его команда получила 181 отчет об ошибках в 2025 году, что сопоставимо с объемом за предыдущие два года вместе взятыми. К апрелю 2026 года их число уже достигло 87, в результате чего общее количество за год составило примерно 325. Стенберг отмечает, что большую часть рабочей нагрузки он выполняет сам, поскольку является единственным постоянным участником проекта, но признает резкое увеличение рабочей нагрузки. Эксперты связывают этот скачок с появлением таких инструментов, как ChatGPT и Claude, которые значительно упростили процесс обнаружения ошибок и заполнения форм для отчетов.
Ситуация усугубилась выпуском новой модели Mythos от Anthropic, которая может автономно обнаруживать и использовать уязвимости нулевого дня в основных операционных системах и браузерах. Опасаясь серьезных проблем в области экономики и национальной безопасности, разработчик решил не публиковать модель публично, вместо этого сделав ее доступной только ключевым организациям, включая CrowdStrike и Linux Foundation. В то же время компания объявила о выделении 4 миллионов долларов на поддержку своих групп поддержки программного обеспечения.
Зависимость технологического сектора от открытого исходного кода, которую поддерживают небольшие недостаточно финансируемые команды, становится проблемой на фоне высоких рыночных оценок ИТ-гигантов. Рабочая нагрузка этих команд растет быстрее, чем их физические возможности реагировать на уязвимости, угрожающие стабильности интернет-сервисов. Однако есть надежда, что новая модель Mythos позволит устранять проблемы до того, как их обнаружат злоумышленники.
Проблема усугубляется накоплением устаревшего кода, который может содержать скрытые ошибки и уязвимости. Например, кодовая база cURL в настоящее время превышает 592 000 строк, и даже небольшое обновление одного компонента может привести к повреждению других частей системы. Исторические прецеденты, такие как уязвимость Heartbleed в OpenSSL, демонстрируют катастрофические последствия ошибок, которые долгое время остаются незамеченными.
Широкое распространение генеративного искусственного интеллекта вынудило программы обнаружения уязвимостей, такие как инициатива Google и Internet Bug Bounty, прекратить отправлять отчеты из-за потока автоматически генерируемых отчетов. Эксперты описывают текущую ситуацию как распределенную атаку типа «отказ в обслуживании» (DDoS), направленную непосредственно на разработчиков, а ведущие инженеры HAProxy и SUSE подтвердили, что объем поступающей информации стал огромным и трудно поддающимся обработке.
Несмотря на риски, ранний доступ к передовым инструментам искусственного интеллекта уже помогает ключевым фигурам отрасли, таким как Грег Круа-Хартман, который поддерживает ядро Linux, более эффективно устранять реальные проблемы. Однако человеческий фактор остается. Например, Стенберг тратит в среднем два часа на устранение каждой проблемы и продолжает работать над отчетами даже по выходным. Он выражает обеспокоенность тем, что нынешние темпы работы являются неустойчивыми и необходимы срочные изменения для сохранения здоровья и производительности разработчиков программного обеспечения с открытым исходным кодом.
Все важное из мира технологий прямо на ваш почтовый ящик.
Подписываясь, вы принимаете наши Условия и Политику конфиденциальности. Вы можете отказаться от подписки одним щелчком мыши в любое время.
