AI-модСль Claude Opus 4.6 выявила Π±ΠΎΠ»Π΅Π΅ 500 Ρ€Π°Π½Π΅Π΅ нСизвСстных уязвимостСй

Компания Anthropic объявила ΠΎ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠΈ Π² AI-ΠΌΠΎΠ΄Π΅Π»ΠΈ Claude Opus 4.6 возмоТностСй ΠΏΠΎ поиску уязвимостСй Π² ΠΊΠΎΠ΄Π΅ ΠΈ подСлилась Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π°ΠΌΠΈ экспСримСнта, Π² Ρ…ΠΎΠ΄Π΅ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ выявлСно Π±ΠΎΠ»Π΅Π΅ 500 Ρ€Π°Π½Π΅Π΅ нСизвСстных (0-day) уязвимостСй Π² послСдних вСрсиях Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ². Π Π°Π±ΠΎΡ‚Π° Π±Ρ‹Π»Π° сфокусирована Π½Π° поискС уязвимостСй, Π²Ρ‹Π·Π²Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌΠΈ ΠΏΡ€ΠΈ Ρ€Π°Π±ΠΎΡ‚Π΅ с ΠΏΠ°ΠΌΡΡ‚ΡŒΡŽ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΈΡ… Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ ΠΏΡ€ΠΎΡ‰Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ. ВсСм выявлСнным уязвимостям присвоСн высокий ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ опасности. КаТдая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π° ΠΈ ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½Π° сотрудниками Anthropic ΠΈΠ»ΠΈ ΠΏΡ€ΠΈΠ²Π»Π΅Ρ‡Ρ‘Π½Π½Ρ‹ΠΌΠΈ внСшними исслСдоватСлями бСзопасности.

Для Π°Π½Π°Π»ΠΈΠ·Π° уязвимостСй Π±Ρ‹Π»ΠΈ ΠΏΡ€ΠΈΠ²Π»Π΅Ρ‡Π΅Π½Ρ‹ ΠΊΠΎΠ΄ΠΎΠ²Ρ‹Π΅ Π±Π°Π·Ρ‹ популярных ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ², ΡƒΠΆΠ΅ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ врСмя проходящиС Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠ΅ fuzzing-тСстированиС Π² сСрвисС OSS-Fuzz. Π’ ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ fuzzing-тСстирования, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ гСнСрируСтся ΠΏΠΎΡ‚ΠΎΠΊ всСвозмоТных случайных ΠΊΠΎΠΌΠ±ΠΈΠ½Π°Ρ†ΠΈΠΉ Π²Ρ…ΠΎΠ΄Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, AI-модСль ΠΏΡ‹Ρ‚Π°Π»Π°ΡΡŒ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠ΄, учитывая ΠΏΡ€ΠΎΡˆΠ»Ρ‹Π΅ исправлСния для выявлСния ΠΏΠΎΡ…ΠΎΠΆΠΈΡ… нСустранённых ошибок, выдСляя ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Π΅ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ ΠΈ логичСски выводя, ΠΊΠ°ΠΊΠΈΠ΅ Π²Ρ…ΠΎΠ΄Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π½Π°Ρ€ΡƒΡˆΠΈΡ‚ΡŒ Ρ…ΠΎΠ΄ выполнСния.

Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡ ΠΎ выявлСнных Π² Ρ…ΠΎΠ΄Π΅ экспСримСнта уязвимостях ΡƒΠΆΠ΅ Π½Π°Ρ‡Π°Π»Π° ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Ρ‚ΡŒΡΡ ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰ΠΈΠΌ, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ вСдётся совмСстная Ρ€Π°Π±ΠΎΡ‚Π° ΠΏΠΎ ΠΏΡ€ΠΈΠ½ΡΡ‚ΠΈΡŽ исправлСний. Π§Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠΌΠΎΡ‡ΡŒ ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰ΠΈΠΌ Π² Ρ…ΠΎΠ΄Π΅ ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ Π±Ρ‹Π»ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Ρ‹ ΠΏΠ°Ρ‚Ρ‡ΠΈ для исправлСния выявлСнных ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ. Π’ качСствС ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π° ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Ρ‹ Ρ‚Ρ€ΠΈ уязвимости Π² GhostScript, OpenSC ΠΈ CGIF, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π° ΠΌΠΎΠΌΠ΅Π½Ρ‚ ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ устранСны ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰ΠΈΠΌΠΈ.

Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠ°Ρ для выявлСния ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ конфигурация Π½Π΅ Π±Ρ‹Π»Π° ΠΏΠΎΡ…ΠΎΠΆΠ° Π½Π° Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы автоматичСского поиска уязвимостСй β€” ΠΌΠΎΠ΄Π΅Π»ΠΈ Claude Opus 4.6 Π±Ρ‹Π» прСдоставлСн доступ ΠΊ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ машинС, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΏΠΎΠΌΠΈΠΌΠΎ исслСдуСмого ΠΊΠΎΠ΄Π° Π±Ρ‹Π»ΠΈ установлСны Ρ‚ΠΈΠΏΠΎΠ²Ρ‹Π΅ инструмСнты Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² (coreutils, Python ΠΈ Ρ‚.ΠΏ.) ΠΈ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ для ΠΎΡ‚Π»Π°Π΄ΠΊΠΈ ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° уязвимостСй (Π² Ρ‚ΠΎΠΌ числС ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ для fuzzing-тСстирования). МодСли Π½Π΅ давалась чёткая инструкция ΠΏΠΎ использованию Π΄Π°Π½Π½Ρ‹Ρ… инструмСнтов ΠΈ Π½Π΅ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΠ»ΠΈΡΡŒ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ свСдСния ΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°Ρ… поиска уязвимостСй. МодСли Π±Ρ‹Π»Π° лишь поставлСна Π·Π°Π΄Π°Ρ‡Π° ΠΈ прСдоставлСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡΠ°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½ΠΎ Ρ€Π°ΡΡΡƒΠΆΠ΄Π°Ρ‚ΡŒ ΠΎΠ± ΠΎΠΏΡ‚ΠΈΠΌΠ°Π»ΡŒΠ½ΠΎΠΌ использовании доступных инструмСнтов.

ПоискС уязвимостСй Π² GhostScript AI-модСль Π²Π½Π°Ρ‡Π°Π»Π΅ ΠΏΠΎΠΏΡ‹Ρ‚Π°Π»Π°ΡΡŒ провСсти fuzzing-тСстированиС, Π½ΠΎ ΠΊΠΎΠ³Π΄Π° это Π½Π΅ ΠΏΡ€ΠΈΠ²Π΅Π»ΠΎ ΠΊ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρƒ ΠΏΠ΅Ρ€Π΅ΠΊΠ»ΡŽΡ‡ΠΈΠ»Π°ΡΡŒ ΠΊ Π°Π½Π°Π»ΠΈΠ·Ρƒ ΠΊΠΎΠ΄Π°. Анализ ΠΊΠΎΠ΄Π° Ρ‚ΠΎΠΆΠ΅ Π½Π΅ Π΄Π°Π» Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π° ΠΈ Ρ‚ΠΎΠ³Π΄Π° модСль Π½Π°Ρ‡Π°Π»Π° ΠΈΠ·ΡƒΡ‡Π°Ρ‚ΡŒ ΠΈΡΡ‚ΠΎΡ€ΠΈΡŽ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² git ΠΈ Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· ΠΊΠΎΠΌΠΌΠΈΡ‚ΠΎΠ² Π·Π°ΠΌΠ΅Ρ‚ΠΈΠ»Π° ΡƒΠΏΠΎΠΌΠΈΠ½Π°Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π³Ρ€Π°Π½ΠΈΡ† Π±ΡƒΡ„Π΅Ρ€Π°. Π Π°Π·ΠΎΠ±Ρ€Π°Π² ΠΊΠΎΠΌΠΌΠΈΡ‚ модСль ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ исправлСниС добавляло Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ Π³Ρ€Π°Π½ΠΈΡ† Π±ΡƒΡ„Π΅Ρ€Π° ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΡˆΡ€ΠΈΡ„Ρ‚ΠΎΠ².

Π”Π°Π»Π΅Π΅ модСль ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΠ»Π° ΠΊΠΎΠ΄, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±Ρ‹Π» Π΄ΠΎ исправлСния ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚Π°Π»Π°ΡΡŒ Π½Π°ΠΉΡ‚ΠΈ Π² ΠΎΡΡ‚Π°Π»ΡŒΠ½ΠΎΠΌ ΠΊΠΎΠ΄Π΅ ΠΏΠΎΡ…ΠΎΠΆΠΈΠ΅ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ использования ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½ΠΎΠΉ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, ΠΎΡΡ‚Π°ΡŽΡ‰ΠΈΠ΅ΡΡ нСисправлСнными. Π’ ΠΈΡ‚ΠΎΠ³Π΅ Π² Ρ„Π°ΠΉΠ»Π΅ gdevpsfx.c Π±Ρ‹Π» выявлСн Π²Ρ‹Π·ΠΎΠ² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ gs_type1_blend Π±Π΅Π· ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ коррСктности Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ. Π’ Ρ„ΠΈΠ½Π°Π»Π΅ модСль ΠΏΠΎΠ΄ΠΎΠ±Ρ€Π°Π»Π° содСрТимоС Ρ„Π°ΠΉΠ»Π°, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΠ»Π° ΠΊ Π°Π²Π°Ρ€ΠΈΠΉΠ½ΠΎΠΌΡƒ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡŽ ΠΈΠ·-Π·Π° записи Π΄Π°Π½Π½Ρ‹Ρ… Π² ΠΎΠ±Π»Π°ΡΡ‚ΡŒ памяти Π²Π½Π΅ Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ Π±ΡƒΡ„Π΅Ρ€Π°.

Π’ CGIF AI-модСль ΠΎΡ‚Ρ‚Π°Π»ΠΊΠΈΠ²Π°Π»Π°ΡΡŒ ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈ распаковкС GIF-Ρ„Π°ΠΉΠ»ΠΎΠ² Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° рассматривала, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ€ сТатых Π΄Π°Π½Π½Ρ‹Ρ… всСгда мСньшС распакованных. Поиск уязвимости Π±Ρ‹Π» сосрСдоточСн Π½Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠΈ условий, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… сТатыС Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠΌ LZW Π΄Π°Π½Π½Ρ‹Π΅ окаТутся большС распакованных. ΠŸΠΎΠ΄ΠΎΠ±Π½Ρ‹Π΅ условия Π±Ρ‹Π»ΠΈ Π½Π°ΠΉΠ΄Π΅Π½Ρ‹ ΠΈ AI-модСль смогла ΡΡ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ GIT-Ρ„Π°ΠΉΠ», ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΡ€ΠΈΠ²Π΅Π»Π° ΠΊ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ Π±ΡƒΡ„Π΅Ρ€Π°. Π’ OpenSC ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° выявлСна послС Π°Π½Π°Π»ΠΈΠ·Π° использования Π² ΠΊΠΎΠ΄Π΅ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ опасных Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ strrchr ΠΈ strcat.

ΠžΡ‚ΠΌΠ΅Ρ‡Π°Π΅Ρ‚ΡΡ, Ρ‡Ρ‚ΠΎ языковыС ΠΌΠΎΠ΄Π΅Π»ΠΈ достигли уровня, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅Π³ΠΎ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ Ρ€Π°Π½Π΅Π΅ нСизвСстныС уязвимости, ΠΈ Π² блиТайшСС врСмя ΠΏΡ€Π΅Π²Π·ΠΎΠΉΠ΄ΡƒΡ‚ экспСртов ΠΏΠΎ бСзопасности ΠΏΠΎ скорости ΠΈ ΠΌΠ°ΡΡˆΡ‚Π°Π±Ρƒ поиска уязвимостСй. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ΡΡ, Ρ‡Ρ‚ΠΎ рост числа выявляСмых уязвимостСй ΠΏΠΎΡ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ рСформирования ΡΠ»ΠΎΠΆΠΈΠ²ΡˆΠΈΡ…ΡΡ процСссов раскрытия ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Π½Ρ‹Π½Π΅ выдСляСмых Π½Π° исправлСниС 90-Π΄Π½Π΅ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ нСдостаточно.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ