Исследовательская группа Wiz в прошлом месяце направила в GitHub отчёт о критической уязвимости в git-инфраструктуре платформы. Баг относится к классу remote code execution (RCE) — то есть атакующий мог бы выполнять произвольный код на серверах GitHub и потенциально получить доступ к миллионам публичных и приватных репозиториев. Примечательно, что уязвимость была найдена с применением ИИ, хотя Wiz не уточняет, какая именно модель использовалась.

Главный директор по информационной безопасности GitHub Алексис Уэлс описала хронологию реакции: за 40 минут команда воспроизвела уязвимость внутри компании и подтвердила её критичность. Ещё примерно через час после установления первопричины инженеры разработали и задеплоили патч — одновременно для GitHub.com и GitHub Enterprise Server. Полный цикл от получения отчёта до закрытия бреши занял менее шести часов. Параллельно было проведено форензик-расследование, которое показало: до выхода патча уязвимость никто не эксплуатировал.

Wiz охарактеризовала баг как «поразительно простой в эксплуатации» — несмотря на сложность инфраструктуры GitHub. Исследователь Wiz Саги Цадик назвал находку одним из первых критических уязвимостей, обнаруженных в закрытых бинарных файлах с помощью ИИ, и указал на смену подхода к поиску подобных проблем. GitHub, в свою очередь, присвоил отчёту одну из максимальных выплат в рамках своей программы bug bounty.

Wiz заявляет, что нашла баг с помощью ИИ — один из первых подобных случаев для закрытых бинарных файлов.

acastro_220504_STK121_0001
acastro_220504_STK121_0001 · Источник: The Verge AI

Контекст находки важен: уязвимость была раскрыта спустя несколько дней после масштабного сбоя GitHub, при котором платформа случайно откатила уже смёрженные коммиты у части пользователей. На прошлой неделе сервис пережил несколько инцидентов подряд. В публикации The Verge приводились слова одного из сотрудников GitHub о том, что «компания рушится — и из-за серьёзных сбоев, и из-за оттока руководства». На этом фоне быстрая реакция на уязвимость выглядит как попытка удержать доверие аудитории в непростой для платформы период.

Использование ИИ для поиска уязвимостей в закрытом коде — относительно новая практика. Традиционно анализ бинарных файлов требует значительных ресурсов: реверс-инжиниринга, ручного аудита, специализированных инструментов. Если ИИ-модели начинают автоматизировать этот процесс, порог входа для исследователей безопасности снижается — но одновременно растёт и риск того, что аналогичные инструменты окажутся в руках злоумышленников.