AISLE нашел 12 уязвимостей OpenSSL, скрытых десятилетиями

Стартап AISLE сообщил, что его система автономного анализа обнаружила все 12 уязвимостей (CVE), включенных в январский релиз OpenSSL — критически важной криптографической библиотеки, обеспечивающей безопасность интернет-коммуникаций. Некоторые из этих уязвимостей существовали в коде с 1998 года и долгое время оставались незамеченными.

AISLE использует cyber reasoning system (CRS) — комбинацию искусственного интеллекта и символьных вычислений, которая позволяет автономно анализировать код, создавать proof-of-concept эксплойты и предлагать исправления. Основателями компании являются бывшие сотрудники Anthropic, Avast и Rapid7, а среди инвесторов — Джефф Дин из Google и Томас Вульф из Hugging Face.

Обнаруженные уязвимости включают критическую ошибку переполнения буфера в парсинге CMS, которая могла привести к удаленному выполнению кода, а также ряд проблем в PKCS#12, QUIC и постквантовых алгоритмах. Для пяти CVE система AISLE предложила исправления, которые были приняты командой OpenSSL. Еще шесть уязвимостей были выявлены до релиза и не попали в финальную версию библиотеки.

Томаш Мраз, технический директор OpenSSL Foundation, подчеркнул важность независимых исследований для безопасности OpenSSL и open source в целом, отметив высокое качество отчетов и конструктивное сотрудничество с AISLE.

Ранее система AISLE обнаружила более 100 уязвимостей в других проектах, таких как ядро Linux, cURL и Apache. Разработчики утверждают, что автономный анализ позволяет выявлять уязвимости, на поиск которых у человека могли бы уйти месяцы.

Ну что ж, похоже, человечество наконец-то изобрело машину, которая делает то, что мы должны были делать десятилетиями. Интересно, когда она начнет требовать зарплату и оплачиваемый отпуск?