ИИ разрушает две культуры уязвимостей: скоординированное раскрытие против принципа Linux «Ошибки есть ошибки»

В посте Джеффа Кауфмана «ИИ разрушает две культуры уязвимостей» рассматривается напряженность между скоординированным раскрытием и подходом Linux «баги есть баги», ускоренная ИИ. Уязвимость Copy Fail (сообщена в мае 2026 г.) иллюстрирует срыв: Хюнву Ким следовал стандартной процедуре Linux — приватно сообщил закрытому списку инженеров по безопасности, исправляя ошибку тихо в открытом доступе. Но кто-то заметил diff, осознал последствия для безопасности и немедленно опубликовал информацию, завершив эмбарго.
Две культуры
- Скоординированное раскрытие: Сообщить приватно, дать мейнтейнерам ~90 дней на исправление. Цель: исправить до того, как публика узнает. Но при сканировании с помощью ИИ независимое повторное обнаружение часто — в данном случае всего через 9 часов после отчета Кима Гуань-Тин Чен независимо нашел ту же ошибку.
- Linux «баги есть баги»: Исправить быстро, не привлекая внимания. Аргумент: если ядро делает что-то не так, кто-то может использовать это как оружие. Но поскольку ИИ становится хорош в поиске уязвимостей, соотношение сигнал/шум коммитов растет, делая их анализ более привлекательным и дешевым.
Почему ИИ меняет всё
Кауфман протестировал три модели ИИ на исправлении (f4c50a403): Gemini 3.1 Pro, ChatGPT-Thinking 5.5 и Claude Opus 4.7 — все мгновенно определили его как патч безопасности. Даже только по diff (без контекста) Gemini был уверен, GPT — вероятно, Claude — вероятно. Это означает, что эмбарго — даже короткие — становятся все более хрупкими: защитники тоже могут использовать ИИ, но атакующие могут сканировать коммиты быстрее.
Кауфман предлагает очень короткие эмбарго (и дальнейшее их сокращение) как прагматичный ответ, используя ИИ для ускорения защитников. Долгие эмбарго создают ложное чувство незанятости срочностью и ограничивают круг тех, кто может работать над исправлениями.
Прочитайте полный пост для более глубокого анализа и конкретного промпта, который Кауфман использовал для тестирования.
📖 Read the full source: HN AI Agents
👀 Смотрите также

Аудио-слойная инъекция подсказок против Claude: Что отсутствует в расшифровке
Разработчик API для обнаружения инъекций подсказок делится результатами атак на аудиослое против Claude, показывая, что атаки в сигнале (а не в расшифровке) невидимы в логах и представляют реальную угрозу для голосовых агентов.

ClawGuard: Открытый шлюз безопасности для защиты учетных данных API OpenClaw
ClawGuard — это шлюз безопасности, который располагается между AI-агентами и внешними API, используя фиктивные учетные данные на машине агента, в то время как реальные токены хранятся отдельно. Он обеспечивает подтверждение через Telegram для чувствительных вызовов и ведет журнал аудита запросов.

От фермы до кода: Как фермер создал защиту в реальном времени с открытым исходным кодом для OpenClaw
Узнайте, как фермер, не имея опыта в разработке, создал систему защиты с открытым исходным кодом для OpenClaw, используя несколько AI-кодовагентов всего за 12 часов.

Настройка OpenClaw для зашифрованного вывода LLM с использованием TEE анклавов
Разработчик делится опытом настройки OpenClaw для использования доверенных сред выполнения AMD SEV-SNP от Onera для сквозного зашифрованного вывода LLM, включая примеры конфигурации и технические компромиссы.