惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
Cisco Blogs
Cyberwarzone
Cyberwarzone
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
SecWiki News
SecWiki News
Martin Fowler
Martin Fowler
T
Tor Project blog
N
Netflix TechBlog - Medium
C
Cybersecurity and Infrastructure Security Agency CISA
V
Vulnerabilities – Threatpost
V
Visual Studio Blog
GbyAI
GbyAI
PCI Perspectives
PCI Perspectives
D
DataBreaches.Net
Jina AI
Jina AI
H
Heimdal Security Blog
云风的 BLOG
云风的 BLOG
P
Privacy International News Feed
A
About on SuperTechFans
J
Java Code Geeks
美团技术团队
H
Hackread – Cybersecurity News, Data Breaches, AI and More
N
News | PayPal Newsroom
有赞技术团队
有赞技术团队
MyScale Blog
MyScale Blog
博客园 - 司徒正美
C
Check Point Blog
T
Threat Research - Cisco Blogs
Attack and Defense Labs
Attack and Defense Labs
宝玉的分享
宝玉的分享
AI
AI
Simon Willison's Weblog
Simon Willison's Weblog
C
Cyber Attacks, Cyber Crime and Cyber Security
I
Intezer
P
Proofpoint News Feed
Blog — PlanetScale
Blog — PlanetScale
Apple Machine Learning Research
Apple Machine Learning Research
Hugging Face - Blog
Hugging Face - Blog
The Last Watchdog
The Last Watchdog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Vercel News
Vercel News
I
InfoQ
阮一峰的网络日志
阮一峰的网络日志
Cisco Talos Blog
Cisco Talos Blog
W
WeLiveSecurity
Hacker News: Ask HN
Hacker News: Ask HN
Recent Commits to openclaw:main
Recent Commits to openclaw:main
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
D
Docker
博客园 - Franky
Security Archives - TechRepublic
Security Archives - TechRepublic

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Security Week 2620: эффект от ИИ для поиска уязвимостей в Firefox
Kaspersky_La · 2026-05-12 · via Все публикации подряд на Хабре

Время на прочтение4 мин

Охват и читатели610

На прошлой неделе разработчики браузера Mozilla Firefox опубликовали детальный отчет об использовании искусственного интеллекта для поиска уязвимостей (оригинальный пост, новость на Хабре). Публикации предшествовал краткий анонс в конце апреля: тогда стало известно, что в Mozilla получили доступ к ИИ-модели Claude Mythos компании Anthropic, которая пока недоступна публично всем желающим. В анонсе разработчики браузера не стеснялись в хвалебных эпитетах, предрекая скорый конец уязвимостям нулевого дня — когда разработчик ПО обнаруживает баг, который уже эксплуатируется в реальных атаках.

В новой публикации приведены конкретные примеры в виде 12 уязвимостей. Всего в релизе Firefox 150 была закрыта 271 проблема, все они были найдены с применением Claude Mythos. Если добавить уязвимости, найденные и закрытые другими методами (в том числе обнаруженные с помощью других ИИ-моделей), всего за апрель получится 423 патча, в то время как за весь предыдущий год было закрыто 353 проблемы, так или иначе влияющих на безопасность работы браузера. Из 271 уязвимости, найденной с помощью ИИ, 180 имеют рейтинг sec-high — это внутренняя квалификация Mozilla, указывающая на высокую (но не максимальную) опасность проблемы. Такие баги могут быть эксплуатированы без дополнительных сложностей — например, пользователя достаточно будет заманить на подготовленную страницу.

Это, впрочем, не означает, что в Firefox исправлены 180 методов взлома браузера. Авторы статьи прямо говорят, что сценарии реальной эксплуатации для каждой проблемы не исследовались. Специалисты признают, что более ранние ИИ-модели (упоминаются GPT-4 и Sonnet 3.5) генерировали много ложноположительных результатов. Такие «выдуманные» уязвимости было сложно и дорого отфильтровывать. Совсем недавно эта серьезная проблема широко обсуждалась и даже привела к отказу разработчика утилиты cURL от программы bug bounty — из-за огромного наплыва мусорных баг-репортов. 

Улучшение качества баг-репортов, по мнению разработчиков Firefox, произошло не только благодаря развитию самих ИИ-моделей. Свой вклад внесло также создание необходимой обвязки, в рамках которой эти модели работают: так решаются проблемы нацеливания ИИ-ассистентов на важные участки кода, масштабирования и фильтрации «сигнала» (реально важных ошибок в коде) от «шума». Качественная обвязка позволяет также менять ИИ-модели по мере выпуска новых, не ломая при этом инфраструктуру тестирования.

Среди приведенных в публикации примеров обнаруженных с помощью Claude Mythos уязвимостей упоминаются 15-летний баг при обработке элемента <legend>, долгоживущая проблема при обработке HTML-кода для отрисовки таблиц, и несколько уязвимостей, так или иначе приводящих к побегу из «песочницы». Для последних есть важная оговорка: сценарий, заданный при поиске, предполагал, что изолированный процесс уже скомпрометирован. Так симулируется ситуация использования цепочки уязвимостей, а главное — создаются условия для обнаружения багов, которые другими способами (например, фаззингом) крайне трудно обнаружить.

Самим разработчикам новые возможности ИИ вовсе не упростили жизнь, а усложнили. Всего в ходе этого этапа поиска уязвимостей были привлечены больше ста специалистов, в задачи которых входили разработка необходимой для тестирования обвязки, анализ баг-репортов, создание и тестирование патчей. ИИ-ассистенты в сфере безопасности пока не отнимают, а добавляют работы людям.

В контексте данной эволюции систем искусственного интеллекта интересно мнение Даниэля Стенберга, разработчика cURL. Как упоминается выше, совсем недавно, в середине января, он объявил об уходе с площадки HackerOne из-за наплыва ИИ-слопа. В марте программа bug bounty снова открылась, а Стенберг отмечал повышение и количества, и качества баг-репортов. Он также получил доступ к Claude Mythos, и в cURL данная модель нашла всего одну, не особо опасную уязвимость.

Стенберг скуп на дифирамбы и, например, отмечает, что ИИ-ассистенты пока находят известные виды ошибок в коде. Они могут это делать эффективнее чем люди, но ничто не мешает обнаружить те же проблемы и другими методами. В отдельном блог-посте он задает амбициозный бенчмарк для новых реалий: ноль ошибок в коде. Он предлагает две метрики, чтобы понять, что мы хотя бы приближаемся к этой фантастической цели. Во-первых, количество обнаруживаемых багов должно со временем снижаться. Во-вторых, баги должны становиться «моложе» — иными словами, новые методы тестирования должны обнаруживать только те проблемы, которые внесены недавно, потому что все старые уже были «прополоты». Динамика проекта cURL показывает, что светлое будущее нам пока не светит: растет как количество баг-репортов, так и «возраст» обнаруживаемых ошибок.

Что еще произошло

Громкая новость прошлой недели — обнаружение уязвимости Dirty Frag в ядре Linux (письмо в рассылке oss-security, пост на Хабре). Уязвимость приводит к локальной эскалации привилегий и отчасти похожа на проблему Copy Fail, также найденную совсем недавно. Особенностью Dirty Frag стал сбой в процессе раскрытия информации об уязвимости: 7 мая детали проблемы были опубликованы в открытом доступе до того, как стал доступен патч.

Скомпрометирован сайт разработчика популярной утилиты Daemon Tools — начиная с 8 апреля с него распространялся зараженный вариант дистрибутива. Подробный разбор инцидента опубликовали эксперты «Лаборатории Касперского». Еще одна публикация «Лаборатории Касперского» анализирует уязвимость в сервере xrdp.

6 и 7 мая вредоносный код распространялся с официального сайта еще одной относительно популярной утилиты — менеджера загрузок JDownloader.

В майском наборе патчей для ОС Android закрыта критическая, эксплуатируемая уязвимость в компоненте Android Debug Bridge daemon.