26 февраля 2026, 11:25
ИИ научился искать баги, но не чинить: исследователи раскритиковали решение Anthropic

Red team Anthropic с помощью Claude Opus 4.6 обнаружила более 500 уязвимостей в кодовых базах популярных открытых проектов. Компания представила результаты наряду с запуском Claude Code Security — инструмента, который ищет уязвимости и предлагает патчи. Но исследователи безопасности говорят: найти дефект — это самая легкая часть работы.
Гай Азари, основатель ИБ-стартапа и бывший исследователь Microsoft и Palo Alto Networks, указал The Register, что из 500 найденных уязвимостей исправлены только две-три. Ни одной не присвоен CVE-идентификатор — а значит, процесс фактически не завершен. В соответствии с заявлению Азари, когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчеты приходили постоянно — а с появлением ИИ их стало в 100–200 раз больше, но главным образом это шум без подтвержденного воздействия.
Характерный пример — инициатива curl. В январе 2026-го его создатель Даниэль Стенберг закрыл баг-баунти программу на HackerOne, проработавшую с 2019 года. Причина: в 2025 году только 5% отчётов оказались реальными уязвимостями, остальное — низкокачественные ИИ-генерированные отчеты, которые выглядят убедительно, но при проверке рассыпаются. Азари полагает, что массовый поиск уязвимостей без валидации и патчей "не помогает мейнтейнерам, а усиливает коллапс".
Более мягкую позицию занял Феросс Абухадиже, CEO компании Socket. Он не сомневается, что Anthropic действительно нашла более 500 потенциальных уязвимостей — это соответствует тому, что видит вся индустрия. Но сложная часть — все, что происходит после: подтверждение затронутых версий, оценка реального воздействия, координация с мейнтейнерами и создание патчей, совместимых с архитектурой проекта. По его оценке, раскрытие уязвимостей скоро начнет опережать способность их устранять, и выиграет тот, кто научится превращать находки в безопасные, приоритизированные исправления.
В Anthropic от комментариев отказались, но в посте red team указали, что работают с мейнтейнерами над устранением найденных уязвимостей, а детали раскроют позже. Вопрос в том, станет ли ИИ полноценным инструментом безопасности — или генератором работы для и без того перегруженных разработчиков open source.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
Читают сейчас

17 июля 2026, 13:04
Обзор изменений в законодательстве за июнь 2026 года
В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

17 июля 2026, 13:00
«Яндекс» назвал победителей первой премии «Сделано с ИИ»
«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

17 июля 2026, 12:58
Почти 300 репозиториев GitHub использовались для распространения программ-стилеров
На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

17 июля 2026, 12:57
Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности
Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

17 июля 2026, 12:22
«Авито» планирует запустить свой служба знакомств
«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п