ИИ разрушает две культуры уязвимостей: скоординированное раскрытие против принципа Linux «Ошибки есть ошибки»
В посте Джеффа Кауфмана «ИИ разрушает две культуры уязвимостей» рассматривается напряженность между скоординированным раскрытием и подходом Linux «баги есть баги», ускоренная ИИ. Уязвимость Copy Fail (сообщена в мае 2026 г.) иллюстрирует срыв: Хюнву Ким следовал стандартной процедуре Linux — приватно сообщил закрытому списку инженеров по безопасности, исправляя ошибку тихо в открытом доступе. Но кто-то заметил diff, осознал последствия для безопасности и немедленно опубликовал информацию, завершив эмбарго.
Две культуры
- Скоординированное раскрытие: Сообщить приватно, дать мейнтейнерам ~90 дней на исправление. Цель: исправить до того, как публика узнает. Но при сканировании с помощью ИИ независимое повторное обнаружение часто — в данном случае всего через 9 часов после отчета Кима Гуань-Тин Чен независимо нашел ту же ошибку.
- Linux «баги есть баги»: Исправить быстро, не привлекая внимания. Аргумент: если ядро делает что-то не так, кто-то может использовать это как оружие. Но поскольку ИИ становится хорош в поиске уязвимостей, соотношение сигнал/шум коммитов растет, делая их анализ более привлекательным и дешевым.
Почему ИИ меняет всё
Кауфман протестировал три модели ИИ на исправлении (f4c50a403): Gemini 3.1 Pro, ChatGPT-Thinking 5.5 и Claude Opus 4.7 — все мгновенно определили его как патч безопасности. Даже только по diff (без контекста) Gemini был уверен, GPT — вероятно, Claude — вероятно. Это означает, что эмбарго — даже короткие — становятся все более хрупкими: защитники тоже могут использовать ИИ, но атакующие могут сканировать коммиты быстрее.
Кауфман предлагает очень короткие эмбарго (и дальнейшее их сокращение) как прагматичный ответ, используя ИИ для ускорения защитников. Долгие эмбарго создают ложное чувство незанятости срочностью и ограничивают круг тех, кто может работать над исправлениями.
Прочитайте полный пост для более глубокого анализа и конкретного промпта, который Кауфман использовал для тестирования.
📖 Read the full source: HN AI Agents
👀 Смотрите также
SCION: Швейцарская безопасная альтернатива протоколу маршрутизации BGP
SCION (Scalability, Control, and Isolation On Next-Generation Networks) — это архитектура маршрутизации интернета, разработанная в ETH Zürich, которая заменяет основу BGP встроенной безопасностью и многопутевой маршрутизацией. В отличие от заплаток BGP, таких как RPKI и BGPsec, SCION устанавливает десятки или сотни параллельных путей с перемаршрутизацией за миллисекунды при возникновении сбоев.
Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.
Лаборатория безопасности Ant AI выявила 33 уязвимости в базовом фреймворке OpenClaw, из которых 8 критических проблем были исправлены в релизе 2026.3.28. Уязвимости включают обход песочницы, повышение привилегий, сохранение сессии после отзыва токена, риски SSRF и деградацию списка разрешений.
Широко открытый коготь: Угрозы безопасности из-за излишних разрешений для ботов в Discord
Исследователь безопасности демонстрирует, как OpenClaw может быть использован злоумышленниками, когда пользователи добавляют бота-ассистента ИИ на свой Discord-сервер с чрезмерными разрешениями, нацеливаясь на пользователей, которые предоставляют root- или административный доступ без учёта мер безопасности.
"Живой дашборд открытых инструментов OpenClaw"
Эта запись выделяет живую панель управления, демонстрирующую открытые панельные управления для инструментов OpenClaw, таких как Moltbot и Clawdbot.