Нейросети находят дыры в коде быстрее, чем люди успевают их записывать. В NIST подняли белый флаг

Поток сообщений об уязвимостях стал таким, что за ним перестали успевать даже государственные структуры. Национальный институт стандартов и технологий США, NIST, признал, что больше не может обрабатывать все записи в прежнем режиме и меняет правила игры.

Проблема кроется в системе CVE, где собирают сведения об уязвимостях. До сих пор специалисты добавляли к каждой записи описание и оценку опасности после попадания в базу уязвимостей. Теперь ведомство откажется от этой практики. Дополнять будут только те записи, которые проходят новый порог приоритета.

Причина проста. За первые три месяца 2026 года число заявок выросло почти на треть по сравнению с тем же периодом прошлого года. В 2025 году NIST обработал около 42 тысяч уязвимостей, что на 45% больше прежнего рекорда, но даже такой темп не помог догнать поток новых сообщений.

С этого момента подробную информацию будут получать в первую очередь уязвимости из федерального каталога активно эксплуатируемых проблем, который ведёт CISA. Такие записи обещают дополнять в течение суток после уведомления. В приоритет также попадут продукты, которые используют государственные структуры США, и критически важное программное обеспечение.

Остальные уязвимости никуда не исчезнут, но останутся без дополнительных данных. В отрасли такую доработку называют «обогащением», и теперь она станет выборочной. Более того, NIST перестанет выставлять собственную оценку опасности для всех записей и будет полагаться на данные, которые указывают авторы сообщений.

Ведомство объясняет изменения попыткой сосредоточиться на действительно критичных проблемах и параллельно развивать автоматизацию. Без этого система не выдерживает нагрузки. Отчасти рост связан с распространением инструментов на базе искусственного интеллекта, которые позволяют быстрее находить даже мелкие ошибки в популярных продуктах. Параллельно усиливаются опасения, что автоматические системы смогут не только находить, но и сразу использовать уязвимости.

Проблемы копились давно. В 2024 году из-за сокращения штата и финансирования около 90% записей оставались без доработки. Тогда CISA временно взяло часть работы на себя, а представители отрасли обратились к Конгрессу США и министру торговли Джину Реймондо с просьбой поддержать Национальную базу уязвимостей.

Ситуация до сих пор не выправилась. В NIST работают всего 21 сотрудник, тогда как число уязвимостей ежегодно растёт. Ведомство признало, что накопившийся архив так и не удалось разобрать. Все записи, опубликованные до 1 марта 2026 года и оставшиеся без обработки, переведут в категорию «не запланировано». При этом часть из них всё же пересмотрят, если найдут среди них критически важные.

Даже в самом ведомстве признают, что новая схема не идеальна и может пропустить серьёзные проблемы. При необходимости специалисты смогут запросить доработку конкретной записи напрямую. В отрасли такой шаг восприняли как признание очевидного. При текущем объёме невозможно централизованно разбирать каждую уязвимость. Приоритеты всё чаще определяются не записями в базе, а тем, насколько активно проблему используют в реальных атаках.