Обнаружение уязвимостей ИИ опережает сроки развертывания исправлений

Проблема скорости в безопасности на основе ИИ
Специалист по безопасности, связанный с экосистемой Mythos, выражает обеспокоенность по поводу задержки развертывания между обнаруженными ИИ уязвимостями и примененными патчами. Основной аргумент: даже если инструменты ИИ, такие как Mythos, могут находить и исправлять уязвимости с беспрецедентной скоростью, последующий конвейер развертывания не успевает за ними.
Ключевые моменты обсуждения
- Больше уязвимостей впереди: Утверждается, что модели ИИ, такие как Mythos, находят уязвимости более эффективно, и с нарастающим импульсом будет обнаружено гораздо больше.
- Цепочки эксплойтов меняют правила игры: Значительная возможность заключается не только в обнаружении уязвимостей, но и в их последовательном объединении для создания сложных цепочек эксплойтов.
- Дисбаланс между обнаружением и исправлением: Автор сомневается, что Mythos может предоставлять исправления так же эффективно, как находит уязвимости, предсказывая, что он будет «НАХОДИТЬ больше, чем может ИСПРАВИТЬ».
- Узкие места развертывания: Даже при мгновенных исправлениях патчи сталкиваются с задержками в принятии вышестоящими проектами, тестировании, процессах утверждения и последующей упаковке.
Данные о сроках развертывания
Источник предоставляет сгенерированные ИИ временные рамки для критической уязвимости:
- Исправление вышестоящим проектом: 24–48 часов после подтверждения основной командой проекта
- Упаковка нижестоящими дистрибутивами: 12–48 часов для основных дистрибутивов (Ubuntu LTS, RHEL, Debian Stable) на обратный порт и тестирование
- Доступность для пользователя: 2–5 дней с момента первоначального публичного раскрытия
Реальная статистика установки патчей
На примере Log4j:
- 10-й день: Организации установили патчи только на 45% уязвимых облачных ресурсов
- Среднее время устранения: 17 дней для обнаруженных и отслеживаемых систем
- Приоритетное исправление: Системы, обращенные вовне, в среднем 12 дней; внутренние системы отставали
- Через год: 72% организаций все еще имели хотя бы один уязвимый экземпляр Log4j
- Долгосрочная перспектива: Совет по обзору кибербезопасности (CSRB) Министерства внутренней безопасности США предсказал, что полное устранение Log4j из глобальной цепочки поставок программного обеспечения займет десятилетие или больше
Основная проблема
Проблема со временем сохраняется, даже если бы скорость обнаружения и исправления была равной (чего не будет). Вся последующая система — от вышестоящих проектов до развертывания конечным пользователем — не может двигаться со скоростью, необходимой для устранения уязвимостей, обнаруженных ИИ, до их эксплуатации. Это создает стресс у разработчиков и вынужденные переходы в аварийный режим, которые поглощают время и ресурсы.
📖 Прочитать полный источник: HN AI Agents
👀 Смотрите также

Правила Когтя: Набор правил безопасности с открытым исходным кодом для агентов OpenClaw
Открытый набор правил JSON с 139 правилами безопасности, который блокирует деструктивные команды, защищает файлы с учетными данными и оберегает инструкционные файлы от несанкционированных изменений агентами. Работает без зависимости от LLM, используя регулярные выражения на уровне инструментов.

Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы
Функция 'разрешить всегда' в OpenClaw стала предметом двух уязвимостей (CVE) в этом месяце, позволяя выполнять несанкционированные команды через привязку команд-обёрток и обходы с помощью символов продолжения строки в оболочке. Более глубокая проблема заключается в том, как эта функция приучает пользователей переставать обращать внимание на запросы безопасности.

KnightClaw: Локальное расширение безопасности для агентов OpenClaw
KnightClaw — это расширение, которое перехватывает сообщения до их попадания к агентам OpenClaw, предоставляя 8-уровневую гибридную систему обнаружения и редактирование исходящих данных. Оно работает полностью локально, без телеметрии, и имеет лицензию MIT.

Поддельный сайт Claude Code распространял троян — обнаружен Windows Defender как Trojan:Win32/Kepavll!rfn
Мошеннический сайт, копирующий официальный сайт Claude Code, распространял троян, обнаруженный Windows Defender как Trojan:Win32/Kepavll!rfn. Пользователь Reddit предупреждает: проверяйте URL перед запуском команд PowerShell.