Ситуация вышла из под контроля: разработчики открытого ПО тонут в потоке багрепортов, найденных ИИ
Почему ИИ-лавина багов угрожает интернету больше, чем хакеры
В 2025 году мейнтейнер cURL получил 181 отчёт об уязвимостях. Это столько же, сколько за два предыдущих года вместе взятых. К апрелю 2026 — уже 87. Темп растёт. И это не хакеры активизировались. Это ИИ.
Боты, обученные на моделях вроде ChatGPT и Claude, теперь штампуют баг-репорты быстрее, чем живые разработчики успевают их читать. Ситуация вышла из-под контроля. И вот почему это касается каждого, кто пользуется интернетом.
Что случилось на самом деле
Недавно Bloomberg рассказал про Mythos — новую модель Anthropic. Она умеет находить и эксплуатировать уязвимости нулевого дня в операционных системах и браузерах. Компания испугалась выпускать её в открытый доступ — отдала только CrowdStrike и Linux Foundation. И выделила $4 млн на поддержку open-source команд. Но этого мало.
Главный сопровождающий cURL Дэниел Стенберг работает один. Полный день. Он чинит баги по два часа каждый, даже в выходные. 592 тысячи строк кода — и один человек. Раньше нагрузка была терпимой. Теперь — лавина.
Почему open-source стал заложником собственного успеха
Интернет держится на открытом коде. Linux, cURL, OpenSSL — всё это поддерживают энтузиасты и маленькие команды. У них нет ресурсов отвечать на тысячи автоматических отчётов. ИИ-сканеры кодят на полную катушку — находят уязвимости, которые могли бы спать годами. Но вместо пользы получается DDoS-атака на разработчиков.
«Программы bug bounty — вроде инициативы Google — вынуждены приостанавливать приём заявок. Поток автоматически сгенерированных репортов не оставляет выбора», — подтверждают инженеры из HAProxy и SUSE.
Это не помощь. Это завал. Представьте, что на вашу личную почту каждый день падает 50 писем, где 49 — спам, но одно — реальная угроза. Вы не можете удалить все сразу. Надо проверять. Вот что чувствуют мейнтейнеры.
Как это работает: ИИ-алгоритм спама багами
Типичная цепочка выглядит так:
- Модель ИИ (Mythos, GPT, Claude) сканирует код проекта — выискивает подозрительные участки.
- Генерирует отчёт с подробным описанием, часто с ложными срабатываниями.
- Автоматически отправляет через баг-трекер.
- Мейнтейнер тратит время на верификацию — реальная это уязвимость или нет.
Проблема в том, что ИИ не умеет трезво оценивать критичность. Он видит потенциальную ошибку и бьёт во все колокола. А разработчик должен разбираться. В cURL, например, база кода огромна. Обновление одного модуля ломает другой — классика. Вспомните Heartbleed в OpenSSL: ошибка жила годами и аукнулась миллионам.
Личное наблюдение автора: Недавно я говорил с мейнтейнером одного популярного пакета. Он признался: «Раньше я тратил час в день на баг-трекер. Теперь — три. И 80% отчётов от ИИ — мусор. Но выбрасывать нельзя: вдруг пропущу реальную угрозу».
Сравнение «было/стало» для cURL
| Период | Количество отчётов | Нагрузка на мейнтейнер |
|---|---|---|
| 2023–2024 (в сумме) | ~180 | 2–3 часа в день |
| 2025 (один год) | 181 | 4–5 часов в день |
| 2026 (прогноз) | ~325 | 7+ часов, включая выходные |
Цифры говорят сами. Человеческий фактор — единственный фильтр. И он перегружен.
Что делать? Моё мнение
Рынок требует быстрых релизов. Гиганты вроде Google и Microsoft зарабатывают миллиарды на open-source. Но платят за поддержку копейки. $4 млн от Anthropic — капля в море. Нужна системная модель финансирования: налог на коммерческое использование или обязательные взносы ИТ-корпораций.
Пока этого не случится, мейнтейнеры будут выгорать. А уязвимости — накапливаться. ИИ ускоряет поиск проблем, но не даёт ресурсов их чинить. Это как пожарная сигнализация, которая срабатывает каждую минуту, а пожарных — два пенсионера.
Резюме от автора: Не надейтесь, что технология сама себя починит. Open-source — это инфраструктура. Если не инвестировать в людей, которые её поддерживают, интернет станет хрупким. И виноват будет не ИИ, а наша жадность.
