- Anthropic с помощью ИИ-модели Claude Opus 4.6 обнаружила более 500 уязвимостей в популярных open source проектах.
- Эксперты критикуют методику, отмечая, что большинство найденных багов остаются непроверенными и не исправленными.
- Проблема переизбытка невалидных отчётов усугубляет нагрузку на разработчиков, а полноценная интеграция ИИ в процесс безопасности остаётся вызовом.
Компания Anthropic заявила об обнаружении с помощью своей ИИ-системы Claude Opus 4.6 свыше 500 потенциальных уязвимостей в кодах популярных открытых программных проектов. В рамках представления результатов был также анонсирован инструмент Claude Code Security, предназначенный для поиска уязвимостей и предложения патчей. Несмотря на это, эксперты по информационной безопасности выразили серьёзные сомнения в практической ценности подобного подхода.
Гай Азари, владелец ИБ-стартапа и бывший исследователь Microsoft и Palo Alto Networks, отметил, что из заявленных багов исправлены лишь две-три, и ни одному из них не присвоен официальный CVE-идентификатор. Это свидетельствует о том, что процесс устранения уязвимостей фактически не завершён и превращается в массу не подтверждённых, неопасных сообщений. Азари подчеркнул, что рост числа таких отчётов в разы превышает реальное количество серьёзных багов, что создаёт дополнительный шум и усложняет работу по безопасности.
К примеру, создатель инструмента curl Даниэль Стенберг ранее отказался от программы баг-баунти, так как лишь 5% отчётов, поступавших в 2025 году, содержали реальные уязвимости, а большинство представляли собой низкокачественные сообщения, сгенерированные ИИ и не проходившие проверку. По мнению Азари, массовый поиск багов без валидации и разработки патчей только усиливает кризис поддержки open source проектов.
В более умеренном тоне высказался Феросс Абухадиже, гендиректор компании Socket. Он признал, что объем обнаруженных Anthropic уязвимостей соответствует общей ситуации в индустрии, однако подчеркнул, что главной задачей остаются последующие этапы: подтверждение версий с уязвимостью, оценка реального риска, взаимодействие с разработчиками и создание исправлений, учитывающих архитектуру проектов. По его словам, вскоре количество выявленных багов может опережать возможности их устранения, и эффективными будут те, кто сумеет претворить обнаруженные проблемы в приоритетные и качественные патчи.
Компания Anthropic отказалась от подробных комментариев, однако в публикации red team заявила, что работает с мейнтейнерами для исправления выявленных уязвимостей и обещала представить детали позже. В итоге стоит задуматься, сможет ли ИИ стать полноценным инструментом для обеспечения безопасности или превратится в дополнительный источник нагрузки для разработчиков open source, и без того испытывающих дефицит ресурсов.
