| 0 |
|
Автономний AI-аналізатор компанії AISLE здійснив безпрецедентний прорив, ідентифікувавши всі 12 вразливостей (CVE), що увійшли до січневого координованого релізу OpenSSL. Ця бібліотека є фундаментом безпеки більшості інтернет-комунікацій у світі, і виявлення в ній хоча б однієї помилки вважається великим досягненням. Той факт, що AI знайшов повний список багів, став справжньою сенсацією.
Деякі з виявлених вразливостей залишалися непоміченими у коді OpenSSL протягом десятиліть, попри тисячі аудитів з боку провідних експертів світу. Зокрема, баг, пов'язаний із пошкодженням пам'яті (CVE-2025-68160), існував у коді ще з 1998 року (версія 1.0.2).
Серед ключових знахідок слід зазначити:
Високий рівень (High): CVE-2025-15467 — переповнення буфера стека в парсингу CMS, що потенційно дозволяє віддалене виконання коду (RCE).
Середній рівень (Moderate): CVE-2025-11187 — проблеми з валідацією параметрів у PKCS#12.
Низький рівень: 10 CVE, що спричиняли крах протоколів (QUIC, TLS 1.3), витік пам'яті та помилки в новітніх постквантових алгоритмах підпису (ML-DSA).
Окрім офіційних CVE, система AISLE виявила ще 6 критичних багів, які були виправлені розробниками ще до того, як вразливий код потрапив у публічний реліз.
Технічний директор OpenSSL Foundation Томаш Мраз (Tomáš Mráz) високо оцінив внесок автономної системи: «Це виправлення 12 проблем безпеки, про всі з яких нам повідомила команда AISLE. Ми цінуємо високу якість звітів та їхню конструктивну співпрацю протягом усього процесу виправлення».
Виконавчий директор фундації Метт Касвелл (Matt Caswell) додав, що підтримання безпеки настільки поширеної криптографії потребує надзвичайно чіткої координації, яку AISLE продемонструвала на найвищому рівні.
Цей кейс демонструє межі людських можливостей в аудиті складного коду. Людський огляд обмежений часом, увагою та обсягом сучасних систем. Натомість AI-аналізатор працює безперервно: досліджує шляхи коду, на перевірку яких людині знадобилися б місяці.
Бачить складну логіку: знаходить помилки, які вислизають від традиційних інструментів статичного аналізу.
Забезпечує превентивний захист: інтегрується у процес розробки, щоб ловити баги до того, як вони стануть доступними хакерам.
AISLE підкреслює, що AI не замінює людей — глибокі знання мейнтейнерів OpenSSL були критично важливими для перевірки знахідок. Проте AI кардинально змінює швидкість реакції: час від виявлення до виправлення скорочується до мінімуму.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
