Система ИИ обнаружила 12 уязвимостей нулевого дня в OpenSSL, а Curl отменил программу вознаграждений за баги из-за спама от ИИ.
Автоматизированная ИИ-система AISLE для обнаружения уязвимостей в сфере кибербезопасности нашла все 12 уязвимостей нулевого дня в последнем релизе безопасности OpenSSL, в то время как curl отменил свою программу вознаграждений за обнаружение уязвимостей из-за спам-отчетов, сгенерированных ИИ. Это представляет собой первую демонстрацию ИИ-кибербезопасности в реальных условиях в таком масштабе против тщательно проверенной инфраструктуры.
Ключевые детали из источника
ИИ-система обнаружила уязвимости в OpenSSL, который обеспечивает шифрование как минимум для двух третей мирового интернет-трафика. Система работает под псевдонимом "Гигантский муравьед" в программах вознаграждений за обнаружение уязвимостей и стремится превратить элитные исследования в области безопасности в повторяемый промышленный процесс.
Предыдущие результаты осени 2025 года включали:
- CVE-2025-9230: Чтение/запись за пределами границ в операции KEK unwrap RFC 3211 для CMS-шифрования на основе пароля, что потенциально может привести к повреждению памяти или выполнению кода. Эта ошибка присутствовала с 2009 года.
- CVE-2025-9231: Временной побочный канал в SM2-подписях на эллиптических кривых для 64-битных ARM, где вариации времени выполнения могут позволить восстановить приватный ключ через удаленное наблюдение.
- CVE-2025-9232: Чтение за пределами границ в обработке HTTP-клиентом no_proxy при разборе IPv6-хостов, вызывающее контролируемый сбой.
Система обрабатывает полный цикл, включая сканирование, анализ, приоритизацию и создание эксплойтов. Разработчики OpenSSL известны консервативным подходом к выпуску CVE, что делает их принятие строгим внешним эталоном.
Тем временем curl отменил свою программу вознаграждений за обнаружение уязвимостей из-за потока спам-отчетов, сгенерированных ИИ, даже несмотря на то, что AISLE сообщила им о 5 подлинных CVE. Это иллюстрирует двойное влияние ИИ: снижение среднего качества отчетов при одновременном повышении потолка для обнаружения реальных уязвимостей нулевого дня в критической инфраструктуре.
Проект прогнозирования "Рубеж 2025 года" поместил обнаружение уязвимостей в критической инфраструктуре с помощью ИИ на 3-е место по ожидаемому влиянию с вероятностью обобщения 0,9.
📖 Read the full source: HN AI Agents
👀 Смотрите также
Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE
Пост на Reddit разбирает риски передачи ключа API Anthropic управляемому хостингу OpenClaw и объясняет, как TEE (Intel TDX) может изолировать ключи на уровне оборудования.
Внедрение авторитета инструментов в агентах LLM: Когда вывод инструмента переопределяет системные намерения
Исследователь демонстрирует 'Инъекцию авторитета инструментов' в локальной лаборатории агентов LLM, показывая, как доверенный вывод инструментов может быть повышен до уровня политики, незаметно изменяя поведение агента, в то время как песочница и доступ к файлам остаются защищенными.
Оценка AISI демонстрирует кибервозможности Claude Mythos Preview в CTF и многошаговых атаках.
Институт искусственного интеллекта и безопасности оценил предварительную версию Claude Mythos от Anthropic, обнаружив, что она успешно выполнила 73% экспертных заданий типа "захват флага" и решила симуляцию корпоративной сетевой атаки из 32 шагов в 3 из 10 попыток.
Открытые инструменты искусственного интеллекта создают угрозы безопасности из-за «иллюзии безопасности через прозрачность».
В посте на Reddit предупреждают о вредоносном ПО, замаскированном под открытые ИИ-агенты и инструменты, где зловредный код может быть скрыт в больших кодовых базах, которые пользователи считают безопасными, потому что они на GitHub. В посте описывается, как «вайб-кодинг» и автономные ИИ-агенты приучают пользователей запускать неизвестные программы без проверки.