Эра ручного аудита безопасности упирается в структурный потолок. Уязвимость класса use-after-free (CVE-2026-43499), получившая имя GhostLock, благополучно просуществовала в ядре Linux 15 лет. С 2011 года она поставлялась «из коробки» почти во всех мейнстримных дистрибутивах, оставаясь невидимой для традиционных фаззеров и человеческого глаза. Ситуация изменилась, когда за дело взялся автономный агент VEGA (проект команды Big Sleep от Google DeepMind и Project Zero). В ходе автоматического сканирования легаси-кода в 2026 году ИИ обнаружил баг, за который Google выплатил 92 337 долларов в рамках программы kernelCTF. Это не просто «умная подсказка» для программиста, а полноценный переход к роли ведущего исследователя, способного находить критические дыры для повышения привилегий.

Провал традиционного фаззинга

GhostLock относится к особо опасному классу угроз: для эксплуатации не нужны ни специальные права, ни сетевой доступ. Как следует из отчетов SecurityWeek и The Hacker News, любой авторизованный пользователь может получить права root на непропатченной машине. Тесты Nebula Security подтверждают: эксплойт работает с надежностью 97% и позволяет совершить побег из контейнера. Тот факт, что баг «спал» полтора десятилетия, наглядно демонстрирует: индустрия безопасности, слепо полагаясь на классическую автоматизацию и ручное ревью, накопила огромные слепые пятна в фундаменте глобальной инфраструктуры.

Ошибка поставлялась по умолчанию почти во всех ключевых дистрибутивах с 2011 года и не требует специфических прав доступа для атаки.

Проблема усугубляется асинхронностью циклов обновления. Хотя патч вышел еще в апреле, по оценке Nebula Security, на начало июля версии Ubuntu 24.04, 22.04 и 20.04 LTS все еще находились в зоне риска или в процессе исправления. Этот лаг между обнаружением и устранением создает идеальное окно возможностей для злоумышленников, которые теперь получают те же инструменты ИИ-поиска, что и белые хакеры.

Асимметричные риски и защита инфраструктуры

Успех Big Sleep происходит на фоне растущей напряженности вокруг критической инфраструктуры. Официальные лица США уже не раз предупреждали об активности группировок вроде Volt Typhoon. Ирония в том, что ИИ-инструменты вроде VEGA — это палка о двух концах. Очищая систему от старых багов, они одновременно снижают порог входа для поиска zero-day уязвимостей в корпоративном и государственном софте. Автоматизация поиска ошибок фактически превращает гигантские массивы непрочитанного кода в склад готового оружия.

Для CTO и руководителей безопасности это четкий сигнал: стратегия «защиты периметра» мертва, если фундамент системы дырявый. Необходимо немедленно проверить версии пакетов ядра Linux на соответствие апрельскому патчу, не дожидаясь, пока стандартное обновление дистрибутива закроет GhostLock. В мире, где баги ищет агент со скоростью мысли, полагаться на человеческую неспешность — непозволительная роскошь.

ИИ-агентыКибербезопасностьGoogle DeepMindАвтоматизация