ИИ научился искать баги, но не чинить: исследователи раскритиковали решение Anthropic

Red team Anthropic с помощью Claude Opus 4.6 обнаружила более 500 уязвимостей в кодовых базах популярных открытых проектов. Компания представила результаты наряду с запуском Claude Code Security — инструмента, который ищет уязвимости и предлагает патчи. Но исследователи безопасности говорят: найти дефект — это самая легкая часть работы.

Гай Азари, основатель ИБ-стартапа и бывший исследователь Microsoft и Palo Alto Networks, указал The Register, что из 500 найденных уязвимостей исправлены только две-три. Ни одной не присвоен CVE-идентификатор — а значит, процесс фактически не завершен. В соответствии с заявлению Азари, когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчеты приходили постоянно — а с появлением ИИ их стало в 100–200 раз больше, но главным образом это шум без подтвержденного воздействия.

Характерный пример — инициатива curl. В январе 2026-го его создатель Даниэль Стенберг закрыл баг-баунти программу на HackerOne, проработавшую с 2019 года. Причина: в 2025 году только 5% отчётов оказались реальными уязвимостями, остальное — низкокачественные ИИ-генерированные отчеты, которые выглядят убедительно, но при проверке рассыпаются. Азари полагает, что массовый поиск уязвимостей без валидации и патчей "не помогает мейнтейнерам, а усиливает коллапс".

Более мягкую позицию занял Феросс Абухадиже, CEO компании Socket. Он не сомневается, что Anthropic действительно нашла более 500 потенциальных уязвимостей — это соответствует тому, что видит вся индустрия. Но сложная часть — все, что происходит после: подтверждение затронутых версий, оценка реального воздействия, координация с мейнтейнерами и создание патчей, совместимых с архитектурой проекта. По его оценке, раскрытие уязвимостей скоро начнет опережать способность их устранять, и выиграет тот, кто научится превращать находки в безопасные, приоритизированные исправления.

В Anthropic от комментариев отказались, но в посте red team указали, что работают с мейнтейнерами над устранением найденных уязвимостей, а детали раскроют позже. Вопрос в том, станет ли ИИ полноценным инструментом безопасности — или генератором работы для и без того перегруженных разработчиков open source.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.