Апрельский «Вторник исправлений» Microsoft стал вторым по величине в истории, немного не дотянув до рекорда октября 2025 года. Что стоит за всплеском раскрытия уязвимостей, и есть ли связь с моделью ИИ Claude Mythos от Anthropic, охотящейся за ошибками? — computerweekly.com
Очередная ежемесячная порция исправлений уязвимостей от Microsoft вышла как и было запланировано во вторник, 14 апреля, содержащая несколько уязвимостей нулевого дня и критические обновления, которые предстоит изучить командам по безопасности. Пока всё шло как обычно. Однако «Вторник исправлений» в этом месяце оказался куда более примечательным, чем многие недавние обновления, поскольку по объему он стал вторым по величине обновлением в истории, охватив более 160 отдельных уязвимостей – в октябре 2025 года их было 175 – и достигнув почти 250 с учетом обновлений сторонних разработчиков и Chromium. Почти немедленно комментаторы поспешили упомянуть неизбежный призрак искусственного интеллекта (ИИ). Среди них был и эксперт по уязвимостям и постоянный комментатор «Вторников исправлений» Дастин Чайлдс из Zero Day Initiative компании TrendAI. В своем регулярном обзоре он охарактеризовал обновление как «чудовищное» по размеру и предположил, что за внезапным скачком может стоять рост использования инструментов ИИ для обнаружения уязвимостей программного обеспечения в масштабе. И это вполне может быть значительной частью происходящего, соглашается Крис Гёттль, вице-президент по управлению продуктами для программных продуктов в Ivanti, которая только что внесла существенные улучшения в свою платформу управления исправлениями Neurons. Обрисовывая ситуацию, Гёттль объясняет: «Подготовка к «Вторнику исправлений» была интересной. У нас была уязвимость нулевого дня в Google Chrome, CVE-2026-5281, исправленная 1 апреля, уязвимость нулевого дня в Adobe Acrobat Reader, CVE-2026-34621, поздно вечером в пятницу, 10 апреля, и несколько более старых CVE, добавленных во вчерашний день [13 апреля] в список Cisa Kev. И всё это на фоне большого отраслевого ажиотажа вокруг Anthropic Mythos и Project Glasswing». Запущенный с большой помпой в начале апреля, Project Glasswing — это новая инициатива Anthropic, построенная вокруг находящейся в разработке передовой модели ИИ Claude Mythos Preview, которая, по словам ее создателей, способна как обнаруживать уязвимости нулевого дня, так и разрабатывать эксплойты для них.
Критические уязвимости
Мощь Mythos настолько велика — Anthropic заявляет об обнаружении «тысяч» критических уязвимостей, некоторые из которых скрывались на виду годами, — что была создана обертка Project Glasswing для ограничения доступа к потенциально опасному инструменту избранной группе технологических компаний, или, по крайней мере, чтобы дать им фору в исправлении уязвимостей до того, как Mythos станет более широко доступным. В их число входят Amazon Web Services (AWS), Apple, Broadcom, Cisco, CrowdStrike, Google, Microsoft, Nvidia и Palo Alto Networks. Mythos и Project Glasswing были обнародованы только в начале этого месяца — слишком недавно, чтобы оказать существенное влияние на обновление «Вторника исправлений». И согласно анализу недавно раскрытых уязвимостей, проведенному VulnCheck, только 75 упоминают Anthropic, и только одна напрямую связана с Glasswing. Следовательно, разумно и точно утверждать, что корреляция между ее выпуском и всплеском раскрытых уязвимостей во «Вторник исправлений» на данный момент является гипотетической.
Быстро меняющаяся хронология
Однако события развиваются стремительно, и, учитывая быстрый темп развития событий, обсуждение должно состояться уже сегодня. Действительно, в открытом письме, опубликованном 15 апреля, министр по делам бизнеса Лиз Кендалл призвала руководителей британского бизнеса «соответствующим образом планировать», поскольку передовые модели становятся более умелыми. «Сценарии, которые делает возможным Mythos, не являются рутинными», — говорит Док Макконнелл, руководитель отдела политики в Finite State, бывший глава подразделения Агентства по кибербезопасности и защите инфраструктуры (Cisa) и советник Белого дома. «ИИ — это гаечный ключ-трещотка для кибербезопасности — он движется только в одном направлении: быстрее. Он позволяет командам безопасности быстрее реагировать на инциденты, но также увеличивает объем и серьезность этих инцидентов. «Конечно, базовые принципы остаются прежними — внедрение безопасности в жизненный цикл продукта, ускорение цикла установки исправлений, обеспечение того, чтобы кибербезопасность была центральной частью управления рисками и долгосрочной стратегии вашей компании. Изменилось то, что традиционного совета «делайте основы, но быстрее» уже недостаточно… Независимо от того, насколько квалифицирована ваша техническая команда, люди просто не могут двигаться достаточно быстро, чтобы успевать за ИИ». В то время как Макконнелл аплодирует Anthropic и команде Project Glasswing за их подход, он считает, что стоит предполагать: если Anthropic шумит и действует ответственно, кто-то другой действует тихо и безответственно.
Как будет использоваться Mythos?
Гёттль из Ivanti говорит: «Большая часть обсуждений вокруг Mythos была сосредоточена на том, где он будет использоваться и каковы будут последствия. Обнаружение уязвимых мест в коде может стать мощным инструментом во благо, когда его использует поставщик, пишущий код, до его выпуска. «Однако он также будет использоваться исследователями и злоумышленниками для поиска уязвимостей в уже выпущенном коде, и именно на это направлены мои предположения», — говорит он. Гёттль предлагает нам рассмотреть побочные эффекты передовой модели, такой как Mythos, и что это означает для программных компаний. В ближайшем будущем, по его словам, крупные технологические компании будут использовать его для выпуска более безопасного кода. Но в то же время и легитимные исследователи безопасности, и злоумышленники будут внедрять более надежные модели ИИ для выявления уязвимых мест. «Это приведет к более скоординированному раскрытию информации — хорошо, к эксплойтам нулевого дня — плохо, и к эксплойтам n-го дня — плохо», — говорит Гёттль. «Все это приведет к более частым и, что более важно, срочным обновлениям программного обеспечения. «Многие организации в настоящее время с трудом успевают за приоритетными обновлениями, устраняющими эксплуатируемые уязвимости, когда они возникают вне их обычного ежемесячного обслуживания. [Например], я подозреваю, что большинство организаций не знали об уязвимости нулевого дня в Adobe Acrobat до обновления Cisa Kev… Это означает, что у злоумышленников было еще два-три дня свободы действий для эксплуатации CVE-2026-34621, прежде чем большинство организаций узнали об этом», — говорит Гёттль. Учитывая, что обновления безопасности браузеров сейчас происходят еженедельно, а многие другие используемые бизнес-приложения выпускают обновления по непрерывному графику, а не по фиксированной ежемесячной дате, нетрудно понять, что значительное количество эксплойтов будет: а) высмеивать графики обслуживания организаций и б) делать это часто. Конечно, невозможно сказать, будет ли это удвоение, утроение или учетверение уязвимостей, но, вероятно, безопасно утверждать, что рост будет заметным и, вероятно, усугубит проблемы, которые руководители служб безопасности уже видят в управлении исправлениями.
Следующие шаги
В чем решение? Гёттль считает, что руководители служб безопасности должны совершить качественный скачок в мышлении и зрелости, определив свою толерантность к риску и позицию в отношении риска, что при эффективном выполнении может сделать действия по устранению более четкими. Он утверждает, что это должно сопровождаться технической эволюцией, в которой традиционные службы оценки уязвимостей и разведки станут лучше интегрированы в более широкую экосистему, где они будут сочетаться с видимостью активов или системами учета. Эта гибридная модель может помочь уточнить процесс определения того, что необходимо устранить немедленно, а что может подождать плановых мероприятий по обслуживанию. Этот стек должен быть интегрирован с платформой автономного управления конечными точками (AEM) для ускорения устранения последствий, добавляет Гёттль. Тем временем Макконнелл из Finite State излагает три шага, которые должна рассмотреть сама отрасль. «Безопасность должна переместиться в самое начало жизненного цикла продукта», — говорит он. «Если вы ждете, пока появится CVE, чтобы узнать, затронут ли ваш продукт, вы уже отстаете. Бинарный анализ и анализ состава программного обеспечения должны проводиться непрерывно с самых первых этапов проектирования и разработки, а не в качестве «финальной проверки», когда функции утверждены и запланирован выпуск. «Во-вторых, безопасность должна идти в ногу с разработкой продукта, даже когда компании ускоряют разработку с помощью ИИ. Это требует SBOM в реальном времени с автоматизированным анализом достижимости для новых уязвимостей, чтобы они могли уверенно расставить приоритеты для наиболее важных исправлений. «Наконец, компании должны понимать, что даже в надежной среде безопасности инциденты все равно будут происходить», — говорит Макконнелл. «Когда это произойдет, защитники должны соответствовать скорости злоумышленников. Это означает наличие автоматизированной возможности реагирования на уязвимости и инциденты, которая может проводить триаж, обмениваться информацией и координировать устранение последствий в портфеле продуктов без опоры на ручное расследование на каждом этапе. «Компании должны действовать немедленно: сделайте это главной темой на следующем заседании совета директоров. Если у вас нет этой возможности сегодня, заключите партнерство с компанией, у которой она есть»».
Могут ли передовые модели быть полезны для кибербезопасности?
Может ли этот скачок в возможностях поиска ошибок у передовых моделей, таких как Mythos, в конечном итоге оказаться полезным для кибербезопасности? Ричард Хорн, генеральный директор Национального центра кибербезопасности Великобритании (NCSC), похоже, так считает. В статье, впервые опубликованной в виде письма в The Financial Times, Хорн заявляет, что существует путь к тому, чтобы отрасль использовала ИИ надлежащим образом для поиска и устранения уязвимостей, но предстоящий путь усеян рисками. «В ближайшей перспективе мы будем все чаще видеть, как ИИ разоблачает те организации, которые не приняли надлежащих мер для защиты своей кибербезопасности», — говорит Хорн. «ИИ упростит, ускорит и удешевит обнаружение и использование слабых мест, которые ранее требовали от злоумышленников больше времени, навыков или ресурсов для выявления. И давление на организации с целью быстрого исправления систем будет только расти. «Вот почему как никогда важно, чтобы организации обеспечивали соблюдение установленных передовых практик, изложенных NCSC, для повышения своего базового уровня безопасности». Для Хорна это включает в себя снижение «ненужного» воздействия атак, быстрое применение обновлений и мониторинг вредоносной активности и реагирование на нее. Эти технические действия, по его словам, должны продвигаться всеми руководителями и членами совета директоров организаций, чтобы они могли оказать положительное влияние. Это включает в себя снижение ненужного воздействия атак, быстрое применение обновлений безопасности, а также мониторинг обнаруженной вредоносной активности и быстрое реагирование на нее. Это технические действия, но они должны продвигаться всеми руководителями и членами совета директоров организаций, чтобы оказать положительное влияние. Киберриск — это бизнес-риск. «По мере того как наше общество ориентируется в этих быстро развивающихся возможностях, NCSC будет сосредоточено на своей миссии по защите Великобритании от киберугроз, работая совместно с промышленностью и более широкими кругами правительства, и мы будем продолжать консультировать по рискам и возможностям», — говорит Хорн. «Освоив основы и осторожно внедрив передовые модели ИИ во благо, сетевые защитники могут сохранить преимущество и помочь обеспечить безопасность Великобритании в Интернете».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton