AI-модель знайшла баг у OpenBSD, якому 27 років

💡 Усі статті, обговорення, новини про AI — в одному місці. Приєднуйтесь до AI спільноти!

Модель ШІ щойно знайшла баг у OpenBSD, який прожив у коді 27 років. Повністю автоматизовано, без участі людини.

Цей баг дозволяє зламати OpenBSD у 72% випадків.

Ця модель — Anthropic Mythos.

Ця новина струснула ринок та суттєво змінила розстановку сил для команд безпеки.

Чому це важливо

Уявіть звичайний замок на дверях. Раніше зловмиснику потрібні були тижні або місяці, щоб розібратися, як його зламати. Тепер із системами на кшталт Mythos ту саму вразливість можна знайти за кілька годин. І мова вже не тільки про «ваш» замок — паралельно можна перевірити всі замки в районі.

Я детально розбирав стратегічний брифінг Cloud Security Alliance, SANS Institute і GenAI Security, який називається «The AI Vulnerability Storm: Building a Mythos-ready Security Program».

Над документом працювали й його рецензували колишня директорка CISA Джен Істерлі, Брюс Шнайєр, CISO з Google, Cloudflare, Atlassian та інших великих компаній.

Там є одна фраза, яка дуже влучно описує поточну ситуацію:

«Ми не можемо змагатися із кількісттю загроз, які знаходить ШІ.

Переглядайте пріоритети, автоматизуйте процеси, та готуйтесь до вигорання.»

Це, мабуть, найчесніше формулювання, яке я бачив у стратегіях з кібербезпеки в цьому році. Та мабуть і взагалі

За даними Zero Day Clock, наведеними в брифі, середній час від виявлення уразливості до початку її експлуатації скоротився з 2,3 року у 2018‑му до 20 годин у 2026‑му.

Старий підхід «закрити критичні вразливості за 2–7 днів» де-факто більше не працює.

Що це означає на практиці

Швидкість патчінгу стає критичною

40 великих софтверних вендорів отримали ранній доступ до Mythos у рамках ініціативи Project Glasswing, щоб шукати баги у власних продуктах. Логічний висновок: нас чекає хвиля критичних патчів, і вийти вони можуть майже одночасно.

Якщо ваш процес оновлення не витримає кілька критичних інцидентів протягом одного тижня — варто почати його змінювати та адаптувати вже зараз.

Без AI‑інструментів безпека просто не встигатиме за AI‑загрозами

У брифі це сформульовано досить прямо: починати використовувати LLM‑агентів для аналізу коду та залежностей потрібно вже зараз, а не «з наступного кварталу».

Серед інструментів, які згадуються в документі: Claude Code Security, OpenAI Codex Security, а також open‑source рішення на кшталт OpenAnt і Raptor.

Розрив між великими й малими компаніями

Ще один неприємний тренд:

Зростання розриву між можливостями великих і невеликих організацій.

У великих корпорацій є бюджети на AI‑платформи для кібербезпеки. Малий та середній бізнес часто просто не може собі цього дозволити.

У брифі це пов’язують із концепцією Cyber Poverty Line — умовною «лінією кібербідності». Поява потужніших (і дорожчих) AI‑інструментів може тільки посилити цю різницю, якщо індустрія не почне ділитися напрацюваннями та інфраструктурою.

Ще один важливий аспект: вигорання

Рідко коли в стратегіях з безпеки чесно пишуть про людей, але тут це винесено окремо:

Готуйтеся до вигорання.

Потік звітів про вразливості буде рости швидше, ніж будь-коли раніше. Це не тільки технологічний, а й людський виклик: команди безпеки фізично не встигають обробляти все вручну без автоматизації та перегляду пріоритетів.

Є й хороші новини

З боку захисту теж з’являються нові інструменти. Наприклад, цього тижня OpenAI розширив програму Trusted Access for Cyber і випустив модель GPT‑5.4‑Cyber для верифікованих фахівців із безпеки.

Тобто екосистема захисних AI‑рішень поступово формується — питання лише в тому, наскільки швидко компанії зможуть вбудувати їх у свої процеси.

Повний бриф CSA доступний безкоштовно. Як мінімум, варто подивитися executive summary і блок з висновками для CISO.

Питання до вас

Чи використовує ваша команда вже зараз AI‑агентів для пошуку вразливостей і рев’ю коду? Чи поки що лише придивляєтеся до таких рішень?

І головне запитання, яке сьогодні багатьом не дає спокою: чи витіснить AI? 🤔

.

p.s. Повний звіт CSA та додаткові матеріали можна знайти у моєму Telegram-каналі.