Пошук багів за допомогою ШІ спричиняє масовий сплеск вразливостей безпеки
Ландшафт кібербезпеки зазнає сейсмічних змін, оскільки штучний інтелект перетворюється з пасивного помічника на активного мисливця за багами. Останні дані свідчать про те, що впровадження спеціалізованих LLM для аудиту безпеки призвело до безпрецедентного вибуху повідомлень про вразливості програмного забезпечення.
Експоненціальне зростання кількості звітів про CVE
Згідно з нещодавніми висновками Epoch AI, обсяг зареєстрованих вразливостей та уразливостей (CVE) високого та критичного рівнів серйозності досяг історичних показників. Лише у червні 2026 року 21 організація повідомила приблизно про 1500 критичних вразливостей — показник, що у 3,5 раза перевищує попередній місячний рекорд.
Цей сплеск не є аномалією, а має прямий кореляційний зв'язок із інтеграцією автономних агентних робочих процесів (agentic workflows) у дослідження безпеки. Дані демонструють чітку висхідну траєкторію, що розпочалася у квітні 2026 року, що стало поворотним моментом у тому, як програмні дефекти виявляються та реєструються в глобальних базах даних.
Claude Mythos від Anthropic та програма "Glasswing"
Основним каталізатором цього стрибка, схоже, став реліз Claude Mythos Preview від Anthropic. Анонсована у квітні, ця модель була спеціально розроблена з можливістю автономного пошуку вразливостей програмного забезпечення. Anthropic повідомила, що навіть до публічного прев'ю надійні партнери вже використовували модель для проактивного виявлення та виправлення багів.
Вплив цих спеціалізованих моделей найкраще демонструє програма "Glasswing" від Anthropic. Повідомляється, що ця ініціатива на сьогодні виявила понад 10 000 вразливостей високого або критичного рівнів серйозності. Примітно, що значна частина цих відкриттів ще не була оприлюднена, що свідчить про те, що справжні масштаби виявлення вразливостей за допомогою ШІ можуть навіть перевищувати поточні зареєстровані показники.
Конкурентна гонка: OpenAI та майбутнє автоматизованого аудиту
Anthropic — не єдиний гравець на цій арені з високими ставками. Програма "Daybreak" від OpenAI також сприяє зростанню кількості звітів про вразливості, оскільки індустрія рухається до моделі "red-teaming-as-a-service". Ця конкуренція між передовими лабораторіями ШІ фактично створює масивний автоматизований шар аудиту в усьому глобальному програмному стеку.
Для розробників і засновників цей зсув є палицею на два кінці. Хоча моделі ШІ, такі як Claude Mythos, та технологія, що стоїть за OpenAI Daybreak, забезпечують потужний захисний щит, виявляючи баги до того, як їх зможуть використати зловмисники, величезний обсяг виявлених вразливостей створює колосальний тиск на команди DevOps та безпеки, змушуючи їх виправляти системи в прискореному темпі.
Чому це важливо для екосистеми ШІ
Цей розвиток подій сигналізує про появу "Agentic Security". Ми відходимо від ручного перегляду коду на користь безперервного циклу аудиту на базі ШІ. Оскільки LLM стають дедалі вправнішими у логічному аналізі складних баз коду, базовий рівень безпеки програмного забезпечення зміститься від "реактивного виправлення" до "проактивного усунення", що докорінно змінить життєвий цикл розробки програмного забезпечення.
Основні висновки
- Безпрецедентний обсяг: Кількість зареєстрованих CVE високого рівня серйозності зросла до 1500 за один місяць, що у 3,5 раза перевищує попередній рекорд.
- Спеціалізовані моделі стимулюють зміни: Claude Mythos Preview від Anthropic та Daybreak від OpenAI очолюють процес автономного виявлення вразливостей.
- Масштабність відкриттів: Лише програма Glasswing від Anthropic виявила понад 10 000 критичних вразливостей, що підкреслює величезний потенціал аудиту безпеки на базі ШІ.
