Вы когда-нибудь ловили себя на мысли, что кнопка «Установить обновление» похожа на лотерейный билет? Вроде и надо - безопасность, новые фичи, производительность. Но внутри - тревожное предчувствие: а вдруг после перезагрузки что-то сломается? И знаете что? Это предчувствие статистически обоснованно.
Цифра из заголовка - не кликбейт. В 2025 году, когда Anthropic тестировала свою модель Mythos, выяснилась любопытная вещь: искусственный интеллект находил уязвимости в коде, который десятилетиями считался безопасным. 27-летний баг в OpenBSD. 17-летняя RCE-уязвимость во FreeBSD. 16-летняя дыра в FFmpeg, которую автоматические тестировщики «прогнали» пять миллионов раз и не заметили. Anthropic отчиталась, что их модель с 83% успеха генерирует рабочие эксплойты с первой попытки. Произнесёшь эту цифру вслух и становится не по себе. 83 процента.
Но вот что интересно. Парадокс в том, что тот же самый софт, который мы обновляем ради защиты, сам оказывается оружием в руках атакующих. И самый страшный сценарий не когда обновление ломает ваш компьютер, а когда оно ломает его целенаправленно. Для кого-то это, знаете ли, бизнес.
Февраль 2026 года. Новость, которую многие пропустили, а зря. Notepad++ - программа, установленная на миллионах компьютеров по всему миру. Легковесный, удобный редактор. Кто вообще думает о безопасности, когда открываешь блокнот? Вот именно.
С середины 2025 года неизвестные злоумышленники компрометировали инфраструктуру обновлений Notepad++. Им удалось внедрить вредоносные обновления в легитимный канал распространения. Жертвы нажимали «Установить сейчас», абсолютно уверенные, что всё в порядке - программа же проверенная, знакомая. А вместо этого получали Cobalt Strike Beacon или кастомный бэкдор под названием Chrysalis.
Как долго это продолжалось? С июля по октябрь 2025 года. Три месяца. Злоумышленники меняли цепочки заражения трижды - каждый раз, когда детектили, что их заметили. Сначала простые shell-команды. Потом загрузка кода через легитимные Lua-интерпретаторы. Под конец - DLL-хиджакинг через Bluetooth-сервис. И главное: атака была таргетированной. Целились в правительственные организации, финансовый сектор, IT-провайдеров. Не в «всех подряд», а в тех, у кого реально есть что красть.
И знаете, что в этой истории самое мерзкое? Пользователи ничего не могли заподозрить. Обновление шло по знакомому, проверенному каналу. Интерфейс не отличался. Безопасники потом скажут: мониторить процесс GUP.exe (это системный обновлятор Notepad++) на предмет выполнения чего-то вроде whoami, tasklist, systeminfo. Потому что это ненормально. Но обычный пользователь - какой обычный пользователь смотрит, что там его блокнот в фоне делает?
У нас есть забавный, но показательный пример из мира корпоративных обновлений. Там проблема не в зловреде, а в самом факте: даже гиганты индустрии не могут выпустить патч без приключений. Последняя история случилась буквально недавно. Microsoft в конце марта 2026 года выпустила не связанное с безопасностью обновление для Windows 11. Оно должно было улучшить стабильность и поддержку мониторов с частотой выше 1000 Гц. Звучит безобидно. Но пользователи начали получать ошибку 0x80073712 - файл обновления повреждён или неполон. Установка просто не стартовала или падала на середине. В итоге Microsoft откатила релиз и пообещала «в ближайшие дни» выпустить внеочередной патч.
Вспомним ещё свежий случай с Windows 10. Обновление KB5048239 в январе 2025 года заставило компьютеры пытаться установить его снова и снова - даже после того, как система отчитывалась об успехе. Бесконечный цикл. Прогресс-бар на 0%, потом резко «обновлено». И так при каждой проверке обновлений. Microsoft этот патч уже отзывала в ноябре - по тем же причинам. Выпустила через два месяца - и ничего не изменилось.
А вот вам более тонкий момент, который редко обсуждают. В апреле 2026 года Microsoft заметила, что после установки обновлений компьютеры с Windows 11 перезагружаются по два-три раза подряд. Люди паниковали - вирус? Сбой? А оказалось… норма, говорит корпорация. Так обновляют сертификаты безопасности Secure Boot. 2011 года выпуска меняют на свежие, 2023-го. И это обязательный процесс. Но почему пользователь должен гадать - это баг или фича?
Если уж совсем мрачная статистика: по данным открытых источников, Microsoft в первой половине 2026 года пришлось откатывать или приостанавливать распространение как минимум двух значимых обновлений. И это только те, которые попали в заголовки. Остальное тонет в ежедневном шуме форумов техподдержки.
Как дела в России? Парадокс обновления актуален не только для глобальных корпораций. Российские компании тоже живут в этом мире, где патч может быть одновременно спасением и угрозой. И здесь важно, как выстроен сам процесс управления изменениями.
Примечательный пример - бренд «Добрый». Один из крупных игроков на рынке безалкогольных напитков. Штат - 8500 человек. И до недавнего времени управление доступом к системам у них было… ручным. По звонкам. По заявкам в мессенджерах. Сотрудник ждал доступа к рабочему софту 48 часов. Ключевая метрика: «забытые» учётные записи, которые никому не нужны, но висят в системе годами - риск утечки. Подготовка отчёта для аудитора занимала несколько рабочих дней.
В 2026 году «Добрый» совместно с «Газинформсервис» внедрил систему управления идентификацией Ankey IDM. Результат: время выдачи базовых прав сократилось с двух дней до двух часов. От 75 до 85 процентов типовых заявок система закрывает сама, без человека. Количество «забытых» учётных записей упало на 90%.
Казалось бы - при чём тут обновления? Дело в том, что качественное управление доступом - это и есть способ сделать обновления менее опасными. Когда система знает, кто, когда и зачем запрашивает доступ, любое изменение становится прозрачным. Аномалию видно сразу. И аудит превращается из недельной пытки в часовую формальность.
Что с этим делать? Вернёмся к заглавному парадоксу. 83% багов действительно находят после релиза - потому что до релиза их просто негде найти. Тестирование в «чистой комнате» никогда не повторит миллионы конфигураций реальных пользователей. Кто-то поставил странный драйвер. Кто-то не обновлял BIOS пять лет. У кого-то антивирус блокирует половину системных вызовов. Каждая такая комбинация - потенциальный «подарок».
Поэтому единственная рабочая стратегия - перестать относиться к обновлениям как к событию, после которого «всё точно будет работать». И начать относиться к ним как к процессу, который нужно мониторить, логировать и да - иногда откатывать. Потому что защита от уязвимостей через патч - это гонка. В ней нельзя выиграть раз и навсегда. Можно только не проиграть сегодня. А завтра утром снова нажать «Проверить обновления». И затаить дыхание.