🔥 ИИ нашёл 12 уязвимостей в OpenSSL
Все знают, что OpenSSL это криптографический фундамент интернета. HTTPS, TLS, VPN, почта, облака, корпоративные PKI - всё это держится на библиотеке, код которой пишут и переписывают уже больше 25 лет. Казалось бы, здесь давно не осталось сюрпризов. Остались 😁
В январском релизе OpenSSL были закрыты 12 уязвимостей. Все они были обнаружены автономным AI-агентом компании AISLE.
Причём часть багов жила в коде с конца 90-х.
🧠 Кто такие AISLE и что за AI-агент?
AISLE это платформа, которая включает автономный агент статического анализа. Продукт сочетает:
- символьное исполнение,
- моделирование состояний памяти,
- анализ путей выполнения,
и собственный reasoning-движок для поиска логических ошибок.
Ключевое отличие от SAST:
👉 агент не ищет паттерны, а пытается сломать программу в уме, перебирая сценарии, которые человек просто не стал бы проверять вручную.
По сути, это автоматизированный аудитор. Но в отличие от человека он не устаёт и
не пропускает «скучные» ветки.
🔍 Что нашли в OpenSSL?
AI-агент проанализировал кодовую базу OpenSSL и обнаружил много интересностей:
➖ошибки обработки ASN.1 и CMS,
➖проблемы в PKCS#7 / PKCS#12,
➖некорректную работу с памятью,
➖условия, приводящие к падениям и потенциальной эксплуатации.
Часть уязвимостей была обнаружена ещё до публичного релиза, а для некоторых был сформирован PoC,
предложены исправления.
Что необычно, патчи были приняты мейнтейнерами OpenSSL. Это редкий случай, когда автоматический анализ не просто «нашёл проблему», а дошёл до уровня upstream-фикса.
📌 Ссылки и первоисточники
🔗 Блог AISLE с разбором находок:
https://aisle.com/blog/aisle-discovered-12-out-of-12-openssl-vulnerabilities
🔗 CVE-hub AISLE (пример):
https://aisle.com/cve-hub/CVE-2025-9230
🔗 Сайт AISLE (описание платформы):
Stay secure and read SecureTechTalks 📚
#OpenSSL #Кибербезопасность #ИБ #AISLE #CVE #SecureCode #DevSecOps #AIвИБ #SecurityResearch
