.jpg)
Как заявила на днях руководитель отдела управления уязвимостями в Агентстве кибербезопасности и защиты инфраструктуры США (CISA) Линдси Церковник, компании, занимающиеся искусственным интеллектом, «должны быть лучше представлены» в программе Common Vulnerabilities and Exposures (CVE), управляемой MITRE.
По мнению чиновницы, за последний год программа столкнулась с быстрым ростом числа зарегистрированных уязвимостей, и развитие ИИ-платформ, вероятно, его подстегнёт: «С появлением новых инструментов на основе нейросетей, некоторые из которых помогают обнаруживать реальные уязвимости, а другие, возможно, выявляют менее ценные вещи, мы вошли в переломный этап».
Опасения Церковник небеспочвенны, учитывая запуск моделей Claude Mythos Preview от Anthropic и GPT-5.4-Cyber от OpenAI, которые адаптированы для отработки различных сценариев действий в сфере кибербеза. Эти боты ускоряют раскрытие информации об уязвимостях, хотя такой тренд наблюдался и ранее.
На сегодняшний день в соответствующей программе зарегистрировано 327 тысяч уникальных записей CVE. По данным ведущего инженера Cisco Threat Detection & Response Джерри Гамблина, в 2026 году было выявлено 18 247 инцидентов, что на 27,9% больше, чем за аналогичный период 2025-го. Кроме того, эксперт подсчитал, что в среднем в этом году ежедневно регистрируется 174 CVE (по сравнению со 132 в предыдущем).
В феврале Форум групп реагирования на инциденты и обеспечения безопасности (FIRST) прогнозировал рекордное количество дополнительных CVE — 50 тысяч — в текущем году. Гамблин ожидает ещё большего роста, прогнозируя 70 135 CVE к концу года. Это отразит темп роста в 45,6% по сравнению с 48 171 в 2025-м.
Призыв Церковник к интеграции ИИ-ориентированных компаний в программу CVE соответствует более широкой стратегии по её диверсификации. Одна из главных целей — увеличить число организаций, которым разрешено публично раскрывать информацию об уязвимости и присваивать номера CVE (CNA).
«Диверсификация программы CVE также означает её интернационализацию, и в будущем будет проверено больше европейских организаций, занимающихся выявлением уязвимостей», — прокомментировал ситуацию Нуно Родригес Карвалью, руководитель сектора инцидентов и услуг по выявлению уязвимостей в Европейском агентстве кибербезопасности (ENISA).
Его коллега, эксперт по ответственному раскрытию информации в ENISA Йоханнес Каспар Клос приветствовал запуск Claude Mythos и других ИИ-инструментов, позволяющих исследователям находить больше уязвимостей, хотя и предпочел бы, чтобы возможности таких моделей были оглашены «до того, как продукты будут выпущены на рынок».
Со слов Церковник, программа CVE является «приоритетной задачей» для CISA и её головного ведомства, Министерства внутренней безопасности США (DHS), и агентство продолжит финансирование проекта в будущем. Проблема лишь в том, что DHS формально всё ещё находится в режиме приостановки работы (шатдаун), и это в настоящее время осложняет принятие решений в CISA, в том числе в отношении расходов на отраслевые мероприятия.
Усам Оздемиров
.jpg)
.png)
.jpg)