Патч вышел утром, атака – в обед. Добро пожаловать в мир, где у вас нет времени на обновления

В популярном веб-сервере нашли уязвимость, которую сначала обнаружила нейросеть, а уже потом довели до реальной атаки люди. История показала простую вещь: автоматические системы уже умеют находить ошибки и даже вызывать сбой, но превратить сбой в рабочую атаку пока по-прежнему приходится вручную.

Уязвимость CVE-2026-27654 находится в веб-сервере nginx и затрагивает не все установки, а только те, где включён модуль WebDAV и используется определённая конфигурация с директивой alias и командами COPY или MOVE. Таких систем немного, но риск для них серьёзный.

Нейросеть Claude от компании Anthropic первой указала на ошибку. Речь идёт о переполнении буфера в памяти при обработке запроса COPY. Ошибка возникает из-за некорректного расчёта длины пути, если заголовок Destination короче, чем префикс каталога. В результате сервер падает. Уже на этом этапе уязвимость выглядела подтверждённой.

Однако падение сервера – ещё не атака. Чтобы добиться чего-то более серьёзного, пришлось разбираться вручную. В ходе анализа выяснили, что ошибка позволяет выйти за пределы каталога WebDAV, который должен изолировать файлы. При удачном раскладе злоумышленник получает доступ к любым файлам, доступным процессу сервера, включая чтение и запись.

Дальше началась практическая работа. Сначала попытались добиться записи произвольного файла. Получился рабочий вариант, но с крайне нереалистичными условиями: сервер должен принимать очень длинные пути, а структура каталогов – быть искусственно глубокой. Такой сценарий в реальной инфраструктуре встречается редко.

Тогда подход изменили. Вместо записи файла попробовали читать уже существующие. Идея оказалась проще: если контролировать и источник, и назначение операции COPY, можно скопировать, например, системный файл вроде /etc/passwd в доступный каталог. Нейросеть в одном случае заявила, что такой вариант невозможен, а в другом – сразу выдала рабочий пример. После проверки выяснилось, что атака срабатывает в большинстве случаев, хотя иногда всё же приводит к падению сервера.

Затем нашли способ упростить эксплуатацию ещё сильнее. Ранее считалось, что для атаки нужны длинные пути. Но оказалось, что при определённой настройке nginx перестаёт объединять двойные слэши в пути. Операционная система при этом продолжает воспринимать их как обычный путь. В итоге можно сформировать очень длинный путь для сервера, который на файловой системе будет коротким. Такой вариант убирает сложные требования к структуре каталогов и делает атаку гораздо более практичной.

В процессе работы проявилась чёткая граница между ролью человека и нейросети. Claude сразу предложила максимально мощный вариант атаки – запись файлов, но не учитывала, насколько реалистичны условия. Люди, наоборот, упростили задачу, отказались от лишнего и нашли более применимый сценарий. Нейросеть быстро проверяла идеи и помогала на уровне деталей, но выбор направления оставался за человеком.

Исправление вошло в версию 1.29.7, а информация о проблеме опубликована в марте 2026 года. Примечательно то, что как только исправление появилось в открытом доступе, автоматическая система анализа изменений сразу заметила патч и сама собрала пример, вызывающий сбой. Это произошло в тот же день.

Фактически окно между выходом исправления и появлением готовой атаки сократилось до нуля. Раньше у администраторов было время на обновление, теперь такой запас исчезает. И если нейросети ускоряют поиск уязвимостей для разработчиков, то они же ускоряют и их использование для всех остальных.