Рост выплат за найденные уязвимости — это не жест доброй воли бигтеха, а симптом тихой паники. Когда Apple в 2016 году запускала программу вознаграждений, верхний порог составлял $200 тыс. К 2019-му он дополз до миллиона, а в прошлом году пробил отметку в $2 млн. Десятикратный скачок за неполную декаду наглядно иллюстрирует коллапс классической экономики взлома. Пока агентные ИИ-модели учатся в автономном режиме вскрывать софт и штамповать эксплойты, традиционный аудит силами «белых хакеров» превращается в антиквариат. Мы наблюдаем стремительную девальвацию человеческого труда: стоимость генерации качественного эксплойта падает быстрее, чем корпорации успевают обновлять бюджеты.
Конец эпохи «90 дней на исправление»
Индустриальный стандарт в 90 дней на ответственное разглашение — время, которое давалось вендору на латание дыр до публикации данных — официально мертв. Как точно подметил исследователь безопасности Химаншу Ананд, этот график создавался для мира, где охотники за багами были штучным товаром, а разработка эксплойта тянулась месяцами. Языковые модели (LLM) сжали обе шкалы одновременно. Эта акселерация загоняет бизнес в состояние перманентной чрезвычайной ситуации, где время между обнаружением дыры и её превращением в оружие стремится к нулю.
«Окно в 90 дней было построено для мира, где поиск багов был редким искусством, а разработка эксплойтов — медленным процессом. Того мира больше нет», — констатирует Ананд.
Автоматизированный триаж и смерть премий
Для большинства ИБ-отделов поток ИИ-отчетов уже оборачивается операционным параличом. Если раньше аналитик разбирал три внятных репорта в неделю, то теперь он тонет в сотнях автоматизированных уведомлений. Исследователь Джозеф Такер отмечает, что уже сейчас отправляет втрое больше багов, чем годом ранее, и прогнозирует, что расходы таких гигантов, как Google, на выплаты вырастут в 2–10 раз. Это прямой путь к финансовому истощению: если техгиганты еще могут заливать проблему деньгами, то средний бизнес просто захлебнется. Рынок неизбежно расколется: люди-охотники сосредоточатся на сложнейших логических изъянах, пока ИИ-агенты будут «пылесосить» все типовые уязвимости.
«Я подозреваю, что Google потратит на выплаты в 2–10 раз больше, чем в прошлом году», — прогнозирует Такер.
Главное
- Прыжок максимальных выплат Apple с $200 тыс. до $2 млн — это защитная реакция на масштабирование автоматизированных атак.
- Агентный ИИ лишил смысла 90-дневный период раскрытия, превратив разработку оружия из кода в вопрос минут.
- Бизнесу критически необходим переход к аппаратной защите — выделенным ИИ-сопроцессорам для непрерывного аудита кода в реальном времени.
- Будущее за системами «self-healing»: софт должен учиться латать себя сам быстрее, чем атакующий алгоритм найдет следующую лазейку.
Единственный способ выжить в этой гонке — признать, что старый периметр безопасности не работает. Отрасль обязана перейти от периодических аудитов к автономным системам самовосстановления. В мире, где эксплойты генерируются алгоритмами, защита, требующая участия человека для каждого патча, обречена на поражение. Наступает время аппаратной зависимости безопасности, когда за чистоту кода будут отвечать специализированные чипы, работающие в режиме нон-стоп.