Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Спасибо, ChatGPT: ИИ превратил жизнь главного разработчика cURL в ежедневный ад

leer en español

Anthropic Mythos ИИ уязвимость Даниэл Стенберг
Спасибо, ChatGPT: ИИ превратил жизнь главного разработчика cURL в ежедневный ад
Anthropic Mythos ИИ уязвимость Даниэл Стенберг

Разработчики открытого кода столкнулись с рекордным ростом числа жалоб на ошибки из-за нейросетей.

image

Пока миллионы людей просто скачивают файлы или открывают сайты, один разработчик в Швеции по ночам разгребает лавину сообщений об уязвимостях. Речь о Даниэле Стенберге, главном сопровождающем проекта cURL, без которого не обходится почти ни одна современная система.

В 2025 году Стенберг получил 181 сообщение об ошибках и уязвимостях. Почти столько же команда получала за два предыдущих года вместе. К апрелю 2026 года накопилось уже 87 обращений, и по текущей динамике год может закончиться с примерно 325 отчётами. Для сравнения, столько сообщений команда получала за четыре года – с 2020 по 2023.

Генеративные системы вроде ChatGPT и Claude научились находить ошибки в коде и даже автоматически оформлять отчёты. Заполнить форму стало делом пары минут. В результате нагрузка на небольшие команды выросла резко и без предупреждения. У проекта cURL всего семь человек, и только Стенберг работает над ним полный день. Большинство проблем он разбирает и исправляет сам. Иногда нагрузка становится чрезмерной. По его словам, ситуация будет только ухудшаться по мере того как такие инструменты развиваются.

На этом фоне особое внимание привлекла новая разработка компании Anthropic – модель Mythos. По заявлению компании, система способна самостоятельно находить и использовать так называемые уязвимости нулевого дня – ошибки, о которых никто ещё не знает, – в любых популярных операционных системах и браузерах. В Министерстве финансов США и среди специалистов по безопасности уже обсуждают, выдержит ли интернет такую технологию.

Anthropic решила не выпускать Mythos в открытый доступ. Доступ получили лишь около 40 организаций, включая CrowdStrike и Linux Foundation. Параллельно компания выделила 4 млн долларов на поддержку разработчиков открытого кода. Почти одновременно OpenAI представила собственную модель для поиска уязвимостей – GPT-5.4-Cyber.

История с Mythos подсветила старую проблему. Огромная часть цифровой инфраструктуры держится на открытом коде, которым занимаются небольшие команды с ограниченными ресурсами. Их возможности не успевают за растущим потоком задач.

Код cURL уже насчитывает почти 600 тысяч строк. Любое изменение может сломать другую часть программы. Поддержка такого проекта требует постоянного внимания к деталям и понимания всех взаимосвязей. Ошибки в подобном коде иногда приводят к серьёзным последствиям. В 2014 году уязвимость Heartbleed в библиотеке OpenSSL затронула тысячи сайтов и оставалась незамеченной больше двух лет.

После того как появились генеративные системы, ситуация изменилась радикально. Если раньше уязвимость мог заметить один внимательный человек, теперь алгоритмы проверяют код массово. С конца 2025 года автоматические агенты не только находят ошибки, но и сами отправляют отчёты. За последние полгода с их помощью в cURL исправили более 200 проблем.

Парадокс в том, что «глаз» стало больше, а рук – нет. Люди по-прежнему остаются последним звеном, которое проверяет и исправляет ошибки. Из-за этого узкое место становится всё уже.

С похожими трудностями сталкиваются и другие разработчики. В проекте HAProxy поток отчётов назвали пугающим и изматывающим. В SUSE говорят о «безумном» количестве сообщений. Некоторые сравнивают происходящее с DDoS-атакой, только направленной не на серверы, а на разработчиков.

Есть надежда, что Mythos поможет справиться с нагрузкой и начнёт не только находить, но и исправлять проблемы. Первые отзывы обнадёживают. В Linux Foundation уже тестируют систему, и сопровождающий ядра Linux Грег Кроа-Хартман отметил, что в феврале «всё изменилось» – алгоритмы начали находить реальные ошибки в большом масштабе.

Пока же нагрузка продолжает расти. Даже программы вознаграждений за найденные уязвимости не выдерживают потока сообщений. В марте Google приостановила выплаты за ошибки в открытом коде, а инициатива Internet Bug Bounty временно перестала принимать новые отчёты. Если подобные системы попадут не только к разработчикам, но и к злоумышленникам, последствия могут оказаться серьёзными. По оценке британского Института безопасности искусственного интеллекта, Mythos уже работает быстрее человека при поиске уязвимостей.

Стенберг ощущает последствия каждый день. В одно пасхальное воскресенье он получил пять отчётов и разбирал их до поздней ночи. Чтобы исправить одну проблему, нужно около двух часов, сложные случаи требуют больше времени. Ситуацию он оценивает без лишних иллюзий. В текущем виде нагрузка не выглядит устойчивой.