ИИ научился искать баги, но не чинить: исследователи раскритиковали решение Anthropic

2 мин
ИИ научился искать баги, но не чинить: исследователи раскритиковали решение Anthropic

Red team Anthropic с помощью Claude Opus 4.6 обнаружила более 500 уязвимостей в кодовых базах популярных открытых проектов. Компания представила результаты наряду с запуском Claude Code Security — инструмента, который ищет уязвимости и предлагает патчи. Но исследователи безопасности говорят: найти дефект — это самая легкая часть работы.

Гай Азари, основатель ИБ-стартапа и бывший исследователь Microsoft и Palo Alto Networks, указал The Register, что из 500 найденных уязвимостей исправлены только две-три. Ни одной не присвоен CVE-идентификатор — а значит, процесс фактически не завершен. В соответствии с заявлению Азари, когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчеты приходили постоянно — а с появлением ИИ их стало в 100–200 раз больше, но главным образом это шум без подтвержденного воздействия.

Характерный пример — инициатива curl. В январе 2026-го его создатель Даниэль Стенберг закрыл баг-баунти программу на HackerOne, проработавшую с 2019 года. Причина: в 2025 году только 5% отчётов оказались реальными уязвимостями, остальное — низкокачественные ИИ-генерированные отчеты, которые выглядят убедительно, но при проверке рассыпаются. Азари полагает, что массовый поиск уязвимостей без валидации и патчей "не помогает мейнтейнерам, а усиливает коллапс".

Более мягкую позицию занял Феросс Абухадиже, CEO компании Socket. Он не сомневается, что Anthropic действительно нашла более 500 потенциальных уязвимостей — это соответствует тому, что видит вся индустрия. Но сложная часть — все, что происходит после: подтверждение затронутых версий, оценка реального воздействия, координация с мейнтейнерами и создание патчей, совместимых с архитектурой проекта. По его оценке, раскрытие уязвимостей скоро начнет опережать способность их устранять, и выиграет тот, кто научится превращать находки в безопасные, приоритизированные исправления.

В Anthropic от комментариев отказались, но в посте red team указали, что работают с мейнтейнерами над устранением найденных уязвимостей, а детали раскроют позже. Вопрос в том, станет ли ИИ полноценным инструментом безопасности — или генератором работы для и без того перегруженных разработчиков open source.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.

Читают сейчас

Обзор изменений в законодательстве за июнь 2026 года

17 июля 2026, 13:04

Обзор изменений в законодательстве за июнь 2026 года

В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

17 июля 2026, 13:00

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

17 июля 2026, 12:58

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

17 июля 2026, 12:57

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

«Авито» планирует запустить свой служба знакомств

17 июля 2026, 12:22

«Авито» планирует запустить свой служба знакомств

«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п