ИИ научился искать баги, но не чинить: исследователи раскритиковали подход Anthropic

Red team Anthropic с помощью Claude Opus 4.6 обнаружила более 500 уязвимостей в кодовых базах популярных открытых проектов. Компания представила результаты вместе с запуском Claude Code Security — инструмента, который ищет уязвимости и предлагает патчи. Но исследователи безопасности говорят: найти баг — это самая легкая часть работы.

Гай Азари, основатель ИБ-стартапа и бывший исследователь Microsoft и Palo Alto Networks, указал The Register, что из 500 найденных уязвимостей исправлены лишь две-три. Ни одной не присвоен CVE-идентификатор — а значит, процесс фактически не завершен. По словам Азари, когда он руководил управлением уязвимостями в Microsoft Security Response Center, отчеты приходили постоянно — а с появлением ИИ их стало в 100–200 раз больше, но в основном это шум без подтвержденного воздействия.

Характерный пример — проект curl. В январе 2026-го его создатель Даниэль Стенберг закрыл баг-баунти программу на HackerOne, проработавшую с 2019 года. Причина: в 2025 году лишь 5% отчётов оказались реальными уязвимостями, остальное — низкокачественные ИИ-генерированные отчеты, которые выглядят убедительно, но при проверке рассыпаются. Азари считает, что массовый поиск уязвимостей без валидации и патчей "не помогает мейнтейнерам, а усиливает коллапс".

Более мягкую позицию занял Феросс Абухадиже, CEO компании Socket. Он не сомневается, что Anthropic действительно нашла более 500 потенциальных уязвимостей — это соответствует тому, что видит вся индустрия. Но сложная часть — все, что происходит после: подтверждение затронутых версий, оценка реального воздействия, координация с мейнтейнерами и разработка патчей, совместимых с архитектурой проекта. По его оценке, раскрытие уязвимостей скоро начнет опережать способность их