Аудиторская компания zkSecurity с помощью своего ИИ-инструментария изучила CIRCL — экспериментальную криптографическую библиотеку Cloudflare. Исследователи выявили семь багов и получили за это вознаграждение в рамках багбаунти-программы вендора.

В CIRCL есть схема шифрования, где доступ к сообщению определяется правами: расшифровать его должен только тот, чей ключ соответствует политике вроде «финансовый отдел И офис в США». Из-за ошибки в одной строке кода этот «замок с двумя ключами» собирался неправильно — «первого ключа» хватало, чтобы открыть его в одиночку. А так как служебная метка, играющая роль этого самого первого ключа, была в каждом выданном, любой пользователь мог расшифровать любое сообщение — политика доступа просто не работала. Cloudflare присвоила этой находке критический уровень.

Описанный баг обнаружил zkao, собственный ИИ-агент zkSecurity, предназначенный для аудита кода. Ещё пять нашёл Claude Opus 4.6, а последний — GPT-5.3. При этом живые специалисты проверяли каждый экземпляр на эксплуатируемость — по словам безопасников, нейросети пока плохо оценивают серьёзность собственных находок в обе стороны (большинство багов было переоценено, а атака на агрегированные подписи BLS — наоборот, занижена в значимости).

Помимо этого, выяснилось, что связки моделей нестабильны: в первой сессии баги находила в основном Opus 4.6, а GPT-5.3 только проверяла их; с более поздними версиями LLM они поменялись ролями. Вывод авторов работы: не привязывайтесь к имени модели, лидер меняется от релиза к релизу.

 

13 июля, 2026

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.07.2026
Минцифры представило новые телеком-поправки — на 3 млрд рублей
13.07.2026
zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу
10.07.2026
CISO опасаются, что топ-менеджеры не осознают все киберриски
10.07.2026
«ЮниКредит Банк» не оставляет попыток уйти из России
10.07.2026
ЕК взялась за страны, проигнорировавшие Директиву NIS2
10.07.2026
Аппарат правительства России свяжет ИИ с ЭДО
10.07.2026
Google сделает резервное копирование автоматическим
10.07.2026
NCSC собирается запустить ИИ-систему Cyber ​​Shield
09.07.2026
«Ключевой профиль применения LSTM в сотовых сетях — умное распределение ресурсов»
09.07.2026
Мосбиржа анонсировала ИИ-комплаенс

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных