Исследователь безопасности: LLM превращают 90-дневный срок на исправление в большую проблему

Исследователь безопасности Himanshu Anand утверждает, что традиционный процесс раскрытия уязвимостей нуждается в пересмотре из-за ускорения поиска уязвимостей и создания эксплойтов с помощью языковых моделей.

Согласно эксперту в области кибербезопасности Himanshu Anand, традиционный процесс раскрытия уязвимостей, при котором исследователям предоставляется до 90 дней на исправление ошибки, больше не работает. Языковые модели значительно ускорили процесс поиска уязвимостей и создания рабочих эксплойтов.

Anand, имеющий более десяти лет опыта в области кибербезопасности, в том числе работавший в Cloudflare и Symantec, приводит несколько примеров, демонстрирующих, как языковые модели подрывают основные предположения, на которых базируется традиционный процесс раскрытия уязвимостей.

Одним из примеров является критическая уязвимость в онлайн-магазине, которая позволяла совершать покупки за 0 долларов. После сообщения об уязвимости Anand.vendor получил еще 10 сообщений о той же уязвимости в течение шести недель. Это показывает, что уязвимости не являются эксклюзивными, и параллельные исследователи не нуждаются в дополнительном времени.

Другой пример связан с React, широко используемым веб-фреймворком. После выпуска нескольких патчей безопасности Anand использовал языковую модель для создания рабочего эксплойта за 30 минут. Ранее на это у опытных инженеров уходили дни.

Наиболее показательным примером является уязвимость в ядре Linux, известная как 'Copy Fail'. Она была обнаружена с помощью часового сканирования ИИ и позволяет злоумышленникам получить доступ к root на почти всех дистрибутивах Linux с 2017 года. В течение нескольких дней злоумышленники из Ирана начали использовать эту уязвимость для захвата серверов для DDoS-атак.

Anand предлагает конкретные рекомендации для трех групп: вендоров, исследователей и администраторов. Вендоры должны относиться к критическим ошибкам как к P0-чрезвычайным ситуациям и исправлять их немедленно. Исследователи должны добиваться более коротких сроков раскрытия информации, а администраторы должны развертывать патчи сразу после их выпуска, а не ждать следующего ежемесячного окна обслуживания.

Команды разработчиков должны интегрировать языковые модели в свои конвейеры для автоматического анализа патчей, непрерывного сканирования зависимостей и проверки работоспособности развернутых патчей. По мнению Anand, злоумышленники уже сделали этот шаг, и на данный момент они выигрывают эту гонку.