Аудит безопасности программного обеспечения традиционно требует значительных временных и финансовых затрат. Однако группа исследователей в области кибербезопасности доказала, что с помощью современных нейросетей этот процесс можно не только ускорить, но и сделать крайне бюджетным. В ходе эксперимента с общим бюджетом всего 600 долларов искусственный интеллект обнаружил в коде драйверов Windows 11 более полутысячи уязвимостей, причём каждая пятая из них позволяет злоумышленникам полноценно атаковать систему.
Как проходил эксперимент
Специалисты Ярон Динкин и Эяль Крафт разработали автоматизированную систему на базе больших языковых моделей (LLM) для анализа драйверов ядра операционной системы. В качестве материала для исследования выступили 1654 драйвера, из которых эксперты отобрали 202, представляющих наибольший риск с точки зрения безопасности. Стоимость анализа одного драйвера составила около 3 долларов — итоговая сумма эксперимента не превысила 600 долларов.
Процесс проверки включал несколько этапов:
- Извлечение CAB-файлов из драйверов.
- Запуск стандартных инструментов аудита.
- Передача кода трём специализированным LLM-агентам: один отвечал за декомпиляцию, второй — за выявление потенциальных уязвимостей, третий — за финальную верификацию кода.
Для подтверждения найденных проблем использовалась виртуальная машина, на которой моделировались реальные атаки.
Результаты: сотни «дыр» и полная эксплуатация
Итоги работы впечатляют: в 158 драйверах автоматизированная система обнаружила в общей сложности 521 уязвимость. Из них более 100 оказались полностью эксплуатируемыми, то есть позволяют злоумышленнику выполнить вредоносный код, повысить привилегии или вызвать отказ в обслуживании.
Исследователи не ограничились простым обнаружением — они связались с производителями проблемного ПО и отправили информацию о 15 наиболее критических ошибках.
Реакция вендоров: тишина в эфире
Результаты коммуникации с разработчиками оказались неутешительными. Спустя три месяца после отправки отчётов только одна компания — Fujitsu — выпустила обновления, устраняющие найденные уязвимости. Остальные вендоры либо полностью проигнорировали запрос, либо отклонили его без объяснения причин. Более того, они не уведомили Microsoft о необходимости исключить проблемные драйверы из общего репозитория.
Выводы экспертов
По мнению исследователей, сложившаяся ситуация создаёт серьёзную угрозу для корпоративных и частных пользователей. Если злоумышленники возьмут на вооружение аналогичные методы автоматизированного поиска уязвимостей, большинство компаний окажутся не готовы к быстрому реагированию. Отсутствие скоординированной работы между вендорами и платформодержателем (Microsoft) оставляет миллионы устройств под потенциальным ударом.
Эксперимент наглядно продемонстрировал, что современный ИИ способен выполнять сложные задачи аудита безопасности с минимальными затратами, но эффективность таких исследований упирается в реакцию разработчиков и процесс патчинга. Пока индустрия не наладит оперативное исправление найденных ошибок, киберугрозы будут только множиться.
