Штучний інтелект виявляє більше помилок, ніж розробники можуть виправити

Світ розробки програмного забезпечення зіткнувся з несподіваним побічним ефектом прогресу. Інструменти на базі штучного інтелекту, які мали б допомагати знаходити вразливості, спровокували справжній «баг-армагеддон». Тепер замість якісного покращення безпеки компанії тонуть в океані звітів, значна частина яких є просто цифровим шумом. Про це пише Bloomberg.

Причини цифрового спаму

Завдяки доступності LLM-моделей та супутніх інструментів, поріг входу в сферу пошуку програмних помилок (Bug Bounty) значно знизився. Це призвело до того, що дослідники-початківці використовують штучний інтелект для масового сканування коду та автоматичної генерації звітів. 

Метою пошуку є отримання винагороди за знайдену помилку. Приз від великої компанії (Apple, Google, Microsoft) може сягати десятків тисяч доларів.

У результаті LLM-модель часто «вигадує» вразливості там, де їх немає, або перебільшує значущість незначних помилок. Замість того, щоб фіксити реальні проблеми, розробники витрачають 90% часу на розбір безглуздих скарг.

Автор cURL Деніел Стенберг повідомив, що в 2025 році отримав 181 звіт про знайдені помилки — стільки ж, скільки за два попередні роки. До квітня 2026 року він отримав вже 87 звітів, тому за підсумками року показник може перевищити 300. При цьому Стенберг залишається єдиним розробником проекту на повній ставці.

Ключові цифри та факти

Проблема	Опис
Об’єм звітів	Кількість заявок на платформах на кшталт HackerOne зросла в рази.
Якість контенту	Більшість згенерованих ШІ звітів не містять робочих сценаріїв атаки (PoC).
Реакція компаній	Деякі фірми починають штрафувати або блокувати репортерів за використання неперевірених ШІ-даних.

Ситуацію посилює поява спеціалізованих LLM-моделей. За словами розробників Claude Mythos, система за два дні і приблизно $20 000 обчислень виявила тисячі вразливостей, включаючи баг в OpenBSD, який залишався непоміченим понад 27 років. Крім того, ця модель здатна генерувати код для експлуатації знайдених уразливостей, що знижує вимоги до кваліфікації хакерів.

Наслідки для індустрії

• Криза довіри: Компаніям стає дедалі важче відрізнити професійного дослідника від «скрипт-кідді» з доступом до ChatGPT.
• LLM проти LLM: Платформи вимушені розробляти власні нейромережі, єдине завдання яких — відфільтровувати звіти, написані іншими нейромережами.
• Зміна правил гри: Ймовірно, найближчим часом умови програм Bug Bounty стануть набагато суворішими щодо використання автоматизованих інструментів без належної перевірки людиною.

Розробники опинились в іронічній ситуації, де технологія, покликана автоматизувати безпеку, створила стільки зайвої роботи, що людського ресурсу вже не вистачає на її опрацювання.

Нагадаємо, що OpenAI збільшила винагороду за знайдені баги в п’ять разів — до $100 000.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn