Цифровую индустрию лишили сна. ИИ-алгоритмы вынуждают выпускать обновления безопасности каждый день
NewsMakerРоботы за минуты находят уязвимости, которые люди искали месяцами. Индустрия оказалась совершенно не готова к такой реальности.
Рост числа уязвимостей в популярных продуктах перестал быть обычной статистикой для отчётов. За первые месяцы 2026 года поставщики ПО начали публиковать рекордные объёмы CVE, а специалисты всё чаще связывают всплеск с распространением ИИ-инструментов для поиска ошибок в коде. Судя по новым данным, индустрия вступает в этап, когда нейросети помогают находить проблемы быстрее людей и в куда больших масштабах.
Аналитик VulnCheck Патрик Гаррити обратил внимание на резкий рост публикаций CVE у крупных разработчиков. По сравнению с прошлым годом количество раскрытых уязвимостей в Chrome увеличилось более чем на 560%, у VMware — почти на 181%, у Apache — на 170%, у Mozilla — на 157%, а у GitHub показатель вырос почти в пять раз.
Особенно заметный скачок зафиксировали в open source проектах. В GitHub подтвердили, что поток сообщений о проблемах действительно резко вырос, причём речь идёт не о действиях одной группы или отдельного инструмента. Уязвимости поступают от множества авторов и затрагивают разные проекты. По мнению команды платформы, изменения связаны с массовым использованием ИИ-моделей для анализа открытого кода.
Одним из главных катализаторов обсуждения стал анонс Anthropic в апреле 2026 года. Компания представила Project Glasswing и модель Claude Mythos Preview , заявив о тысячах обнаруженных уязвимостей нулевого дня в браузерах и операционных системах. Доступ к системе получили Apple, Google, Microsoft, Cisco, NVIDIA, Palo Alto Networks и другие партнёры.
Mozilla уже подтвердила использование передовых ИИ-моделей для поиска скрытых проблем в Firefox. Microsoft также сообщила о запуске собственных инструментов автоматического анализа кода и признала, что технологии позволяют масштабировать поиск ошибок в продуктах компании. Аналогичную активность наблюдают в Apache Foundation, где количество опубликованных CVE выросло более чем на 170%.
При этом разработчики предупреждают, что результаты ИИ пока нельзя считать безошибочными. Создатель Curl Даниэль Стенберг рассказал, что из пяти потенциальных уязвимостей, найденных Mythos, подтверждение получила только одна. Остальные сообщения оказались ложными срабатываниями или обычными дефектами, не связанными с безопасностью.
Авторы отчёта считают, что рост объёмов раскрытия уязвимостей может сохраниться надолго. Защитникам инфраструктуры советуют готовиться к увеличению нагрузки, быстрее устанавливать обновления и внимательнее отслеживать угрозы, которые уже используются злоумышленниками.
Рост числа уязвимостей в популярных продуктах перестал быть обычной статистикой для отчётов. За первые месяцы 2026 года поставщики ПО начали публиковать рекордные объёмы CVE, а специалисты всё чаще связывают всплеск с распространением ИИ-инструментов для поиска ошибок в коде. Судя по новым данным, индустрия вступает в этап, когда нейросети помогают находить проблемы быстрее людей и в куда больших масштабах.
Аналитик VulnCheck Патрик Гаррити обратил внимание на резкий рост публикаций CVE у крупных разработчиков. По сравнению с прошлым годом количество раскрытых уязвимостей в Chrome увеличилось более чем на 560%, у VMware — почти на 181%, у Apache — на 170%, у Mozilla — на 157%, а у GitHub показатель вырос почти в пять раз.
Особенно заметный скачок зафиксировали в open source проектах. В GitHub подтвердили, что поток сообщений о проблемах действительно резко вырос, причём речь идёт не о действиях одной группы или отдельного инструмента. Уязвимости поступают от множества авторов и затрагивают разные проекты. По мнению команды платформы, изменения связаны с массовым использованием ИИ-моделей для анализа открытого кода.
Одним из главных катализаторов обсуждения стал анонс Anthropic в апреле 2026 года. Компания представила Project Glasswing и модель Claude Mythos Preview , заявив о тысячах обнаруженных уязвимостей нулевого дня в браузерах и операционных системах. Доступ к системе получили Apple, Google, Microsoft, Cisco, NVIDIA, Palo Alto Networks и другие партнёры.
Mozilla уже подтвердила использование передовых ИИ-моделей для поиска скрытых проблем в Firefox. Microsoft также сообщила о запуске собственных инструментов автоматического анализа кода и признала, что технологии позволяют масштабировать поиск ошибок в продуктах компании. Аналогичную активность наблюдают в Apache Foundation, где количество опубликованных CVE выросло более чем на 170%.
При этом разработчики предупреждают, что результаты ИИ пока нельзя считать безошибочными. Создатель Curl Даниэль Стенберг рассказал, что из пяти потенциальных уязвимостей, найденных Mythos, подтверждение получила только одна. Остальные сообщения оказались ложными срабатываниями или обычными дефектами, не связанными с безопасностью.
Авторы отчёта считают, что рост объёмов раскрытия уязвимостей может сохраниться надолго. Защитникам инфраструктуры советуют готовиться к увеличению нагрузки, быстрее устанавливать обновления и внимательнее отслеживать угрозы, которые уже используются злоумышленниками.