ИИ-система обнаружила 12 критических уязвимостей нулевого дня в OpenSSL – историческое открытие

ИИ-система обнаружила 12 уязвимостей нулевого дня в OpenSSL

Система кибербезопасности на базе искусственного интеллекта, разработанная компанией AISLE, выявила 12 ранее неизвестных уязвимостей нулевого дня в OpenSSL. Они были раскрыты в бюллетене безопасности от 27 января 2026 года. Это открытие стало исторической вехой в области автоматизированного поиска уязвимостей: ИИ-система обнаружила 13 из 14 уязвимостей OpenSSL (CVE), присвоенных в 2025 году, и 15 уязвимостей в двух последних релизах — беспрецедентный результат даже для команды исследователей, не говоря уже об автоматизированной системе.

Технические детали уязвимостей

Среди обнаруженных уязвимостей — CVE-2025-15467, переполнение стекового буфера при парсинге CMS-сообщений, классифицированная OpenSSL как HIGH (высокая степень опасности), а NIST — как CRITICAL (9.8 по шкале CVSS). Эта уязвимость эксплуатируется удалённо без необходимости наличия действительных ключей, а её эксплойт-код уже появился в открытом доступе. Особенности обнаруженных уязвимостей:

• Три уязвимости существовали с 1998–2000 годов, оставаясь незамеченными более 25 лет, несмотря на многолетнее фаззинг-тестирование и аудиты.
• Одна уязвимость унаследована от SSLeay — предшественника OpenSSL, то есть старше самого проекта.
• Пять из двенадцати уязвимостей были исправлены с помощью патчей, сгенерированных ИИ, которые были приняты в официальный релиз OpenSSL.

Кодовая база OpenSSL, подвергавшаяся миллионам часов фаззинг-тестирования и аудитов (в том числе командами Google), долгое время считалась эталоном защищённого программного обеспечения. Эти открытия ставят под сомнение эффективность традиционных методов поиска уязвимостей.

Влияние и последствия

Открытие подчёркивает трансформационный потенциал ИИ в кибербезопасности, демонстрируя его способность выявлять глубокие исторические уязвимости, которые десятилетиями ускользали от анализа как людей, так и машин. Однако двойственная природа ИИ-систем для поиска уязвимостей порождает критические вопросы:

• Наступательные применения: Киберпреступники могут использовать аналогичные ИИ-системы для массового поиска и эксплуатации уязвимостей нулевого дня.
• Оборонительные преимущества: ИИ-инструменты способны ускорить исправление уязвимостей и сократить окно воздействия для критически важного ПО.
• Смена парадигмы исследований: Концентрация открытий в рамках одной ИИ-системы свидетельствует о новой эре автоматизированных исследований в области безопасности, где ИИ дополняет (а возможно, и превосходит) усилия человека.

Рекомендации для команд безопасности

1. Приоритетное обновление: Организациям, использующим OpenSSL, следует незамедлительно установить обновление безопасности от 27 января 2026 года, особенно для CVE-2025-15467 и других уязвимостей высокой степени опасности.
2. Мониторинг разработки эксплойтов: Учитывая доступность эксплойт-кода для CVE-2025-15467, командам безопасности необходимо усилить мониторинг атак с использованием этой уязвимости.
3. Оценка ИИ-инструментов: Рассмотрите возможность интеграции ИИ-систем для поиска уязвимостей в внутренние процессы исследований безопасности и работу red-team.
4. Аудит устаревшего кода: Обнаружение уязвимостей 25-летней давности подчёркивает необходимость ретроспективного аудита базовых кодовых баз, даже тех, которые считались хорошо проверенными.

Открытия команды AISLE знаменуют переломный момент в кибербезопасности, когда ИИ перестаёт быть вспомогательным инструментом и становится основным драйвером обнаружения уязвимостей. По мере развития возможностей ИИ как защитники, так и злоумышленники будут всё активнее полагаться на такие системы, меняя ландшафт угроз в реальном времени.