В мире безопасности сосуществуют две культуры.
«Ответственное раскрытие» и «полное раскрытие». AI-инструменты начинают разрушать этот баланс.
AI ускоряет обнаружение уязвимостей
Многие open-source проекты сообщили о значительном росте отчётов об уязвимостях после популяризации AI-ассистентов.
Исправители тоже используют AI
Хорошая новость: мейнтейнеры также ускоряют исправления с помощью AI. Плохая новость: это ускорение асимметрично.
Найти уязвимость обычно проще, чем исправить. AI помогает быстро локализовать проблему, но исправления требуют учёта совместимости, рисков регрессии и тестового покрытия.
Столкновение двух культур
Когда количество отчётов растёт, культура «ответственного раскрытия» оказывается под давлением.
Мейнтейнеры получают десятки отчётов ежедневно и не справляются. Исследователи начинают публиковать напрямую.
Формируется петля обратной связи: AI ускоряет обнаружение → взрыв отчётов → мейнтейнеры перегружены → больше прямых публикаций → шире окно атаки.
Что это значит для безопасности AI-агентов
AI-агенты — это автоматизированные системы. Каждая операция может стать поверхностью атаки.
Практические шаги
Сузить поверхность атаки. Давать агентам только необходимые инструменты и права.
Быстро обновлять зависимости. Мониторить advisories.