1 час назад
ИИ нашел критический дефект в шифровании Cloudflare — любой ключ открывал все

Аудиторская компания zkSecurity направила свой ИИ-пайплайн на CIRCL — экспериментальную криптографическую библиотеку Cloudflare. Итог: семь подтвержденных багов, все уже исправлены, за большинство организация получила выплаты по баунти-программе Cloudflare. Разбор находок zkSecurity опубликовала 7 июля — и самое интересное в нем не сами баги, а то, как повели себя нашедшие их модели.
Главная находка — критическая. В CIRCL есть модель шифрования, где доступ к сообщению определяется правами: расшифровать его должен только тот, чей ключ соответствует политике вроде "финансовый отдел И офис в США". Что-то вроде замка, который открывается только двумя ключами сразу. В связи с ошибки в одной строке кода замок собирался неправильно: первого ключа хватало, чтобы открыть его в одиночку. А поскольку служебная метка, играющая роль этого "первого ключа", была в каждом выданном ключе, любой потребитель мог расшифровать любое сообщение — политика доступа просто не работала. Cloudflare подтвердила критический уровень.
Этот дефект нашел zkao, собственный ИИ-агент zkSecurity для аудита кода. Остальные шесть попроще: пять обнаружил Claude Opus 4.6 в связке с экспертными скиллами команды, один — GPT-5.3. Люди одновременно оставались в цикле: каждую находку исследователи проверяли на эксплуатируемость и сами вели раскрытие. Авторы честно признают: кандидаты от ИИ дешевы, доверие к отчетам — нет.
Дальше начинаются странности в поведении моделей. Во-первых, ИИ плохо оценивает серьезность собственных находок, причем в обе стороны: большинство багов он переоценил, а вот атаку на агрегированные подписи BLS, наоборот, занизил до среднего уровня . В zkSecurity пока доверяют оценку серьезности людям — правда, оговариваются, что и рейтинги Cloudflare отражают прежде всего влияние на ее собственные сервисы, а для других проектов на базе CIRCL те же баги могут быть куда опаснее.
Во-вторых, связки моделей нестабильны. В первом прогоне баги находил главным образом Opus 4.6, а GPT-5.3 только проверял чужие находки. Через несколько недель организация повторила сканирование на Opus 4.7 и GPT-5.4 — роли развернулись: теперь баги находил GPT, а Claude только подтверждал их. Вывод авторов: не привязывайтесь к имени модели, лидер меняется от релиза к релизу.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
Читают сейчас

35 минут назад
Фотошоп больше не нужен? Представлена Seedream 5.0 Pro со слоями
ByteDance открыла страницу Seedream 5.0 Pro — флагманской модели генерации изображений, которая возглавит линейку Seedream. Главная фича — разделение готовой картинки на независимые слои, как в графич
51 минуту назад
СМИ: «Задержки зарплат и сокращения в стартапе „Кама“ происходят на фоне подготовки к запуску электромобиля „Атом“»
Разработчик российского электромобиля «Атом» АО «Кама» начал задерживать выплату заработной платы сотрудникам и сокращать персонал. Об этом заявило книга «Ведомости» со ссылкой на текст обращения одно

1 час назад
Состоялся минорный выпуск серверной операционной системы SELECTOS 1.4
8 июля вышла минорная релиз SELECTOS Mega 1.4. Под катом рассказываю про важное модификация для пользователей. Ознакомиться далее

1 час назад
Полезные игры на КРИ 2026: Кружковое движение НТИ представило проекты НКФП «Берлога» и Акселератор полезных игр
26 июня в Московском кластере видеоигр и анимации в Сколково прошла Конференция разработчиков игр 2026. Ещё до старта на КРИ зарегистрировались более 1200 участников: авторы, издатели, инвесторы, прод

2 часа назад
Отчёт ООН: возможности ИИ растут быстрее, чем способность человечества их контролировать
Независимая международная научная группа по ИИ, созданная под эгидой ООН, представила свой первый отчёт. Над документом работали 40 ученых и экспертов со всего мира, а основной вывод звучит так: возмо