DevSecOps Talks

Надо ли переосмысливать подход к Vulnerability Management?

Всем привет

Процесс управления уязвимостями, если очень сильно упростить, сводится к тому, чтобы найти некую «CVE» и устранить ее путем обновления версии уязвимого компонента.

Да, очень и очень упрощенный сценарий (как поиска, так и устранения уязвимости), но для сегодняшнего поста подойдет.

Как правило, есть некое «окно», в котором отсутствует exploit, что делает уязвимость не такой опасной и дает больше времени на ее устранение.

А что, если… AI научится генерировать exploit для разных CVE за считанные минуты? Именно этому и посвящена статья.

Что сделали Авторы:
🍭 Взяли модель qwen3:8b, впоследствии - openai-oss:20b
🍭 Начали собирать информацию о «CVE» (git repo проекта, уязвимые версии, версии без уязвимости, описание «CVE» и т.д.)
🍭 Собранная информация использовалась в prompts, целью которых было найти уязвимый код и дать детальное описание уязвимости
🍭 Генерация exploit! Но не просто «пример кода», а PoC и уязвимое приложение, на котором он был протестирован

Подробности всех шагов с примерами и комментариями можно найти в статье. В результате Авторам получилось создать exploits за очень короткий промежуток времени. Ознакомиться с ними можно по ссылкам, доступным в статье.

Получается, что надо переосмыслить подход к управлению уязвимостями? Что практика «обнаружить и обновить» перестанет работать со временем? Усилить контроль среды исполнения, чтобы даже при наличии CVE эксплуатировать ее было невозможно? …

Что вы думаете по этому поводу?

Substack

Can AI weaponize new CVEs in under 15 minutes?

If AI can mass-produce exploits, how much time do defenders really have left?

👍10

www.tgoop.com/devsecops_weekly/1319

2.8K viewsedited  Sep 19 at 04:23

Надо ли переосмысливать подход к Vulnerability Management?

Всем привет

Процесс управления уязвимостями, если очень сильно упростить, сводится к тому, чтобы найти некую «CVE» и устранить ее путем обновления версии уязвимого компонента.

Да, очень и очень упрощенный сценарий (как поиска, так и устранения уязвимости), но для сегодняшнего поста подойдет.

Как правило, есть некое «окно», в котором отсутствует exploit, что делает уязвимость не такой опасной и дает больше времени на ее устранение.

А что, если… AI научится генерировать exploit для разных CVE за считанные минуты? Именно этому и посвящена статья.

Что сделали Авторы:
🍭 Взяли модель qwen3:8b, впоследствии - openai-oss:20b
🍭 Начали собирать информацию о «CVE» (git repo проекта, уязвимые версии, версии без уязвимости, описание «CVE» и т.д.)
🍭 Собранная информация использовалась в prompts, целью которых было найти уязвимый код и дать детальное описание уязвимости
🍭 Генерация exploit! Но не просто «пример кода», а PoC и уязвимое приложение, на котором он был протестирован

Подробности всех шагов с примерами и комментариями можно найти в статье. В результате Авторам получилось создать exploits за очень короткий промежуток времени. Ознакомиться с ними можно по ссылкам, доступным в статье.

Получается, что надо переосмыслить подход к управлению уязвимостями? Что практика «обнаружить и обновить» перестанет работать со временем? Усилить контроль среды исполнения, чтобы даже при наличии CVE эксплуатировать ее было невозможно? …

Что вы думаете по этому поводу?

BY DevSecOps Talks