„Bloomberg“ praneša, kad nedidelės atvirojo kodo programinės įrangos kūrėjų komandos susidūrė su precedento neturinčiu pažeidžiamumų ataskaitų, generuojamų dirbtinio intelekto, augimu. Galingi DI modeliai, tokie kaip „Mythos“ iš „Anthropic“, aptinka klaidas greičiau, nei jų prižiūrėtojai spėja jas ištaisyti, taip sukurdami rimtą riziką pasauliniam interneto saugumui.
Daniel Stenberg, pagrindinis projekto „cURL“ prižiūrėtojas, pranešė, kad 2025 m. jo komanda gavo 181 pranešimą apie klaidas – tai prilygsta dviejų ankstesnių metų apimčiai kartu sudėjus. Iki 2026 m. balandžio pranešimų skaičius jau pasiekė 87 ir gali siekti apie 325 per metus. Stenbergas pažymėjo, kad su dauguma užduočių susitvarko vienas, nes yra vienintelis pilnu etatu dirbantis projekto narys, tačiau pripažino staigų darbo krūvio augimą. Ekspertai šį šuolį sieja su tokių įrankių kaip „ChatGPT“ ir „Claude“ atsiradimu, kurie gerokai supaprastino klaidų paiešką ir ataskaitų pildymą.
Padėtį dar labiau apsunkina naujo modelio „Mythos“, kurį sukūrė „Anthropic“, pasirodymas – jis geba autonomiškai aptikti ir išnaudoti nulinės dienos pažeidžiamumus pagrindinėse operacinėse sistemose ir naršyklėse. Bijodama rimtų pasekmių ekonomikai ir nacionaliniam saugumui, bendrovė nusprendė modelio viešai neskelbti, o suteikti prieigą tik pagrindinėms organizacijoms, įskaitant „CrowdStrike“ ir „Linux Foundation“. Tuo pačiu metu bendrovė paskelbė skirianti 4 mln. JAV dolerių programinės įrangos priežiūros komandoms paremti.
Technologijų sektoriaus priklausomybė nuo atvirojo kodo, kurį palaiko mažos ir menkai finansuojamos komandos, tampa vis didesne problema, ypač atsižvelgiant į milžiniškas IT gigantų rinkos vertes. Šių komandų apkrova auga greičiau nei jų realios galimybės reaguoti į pažeidžiamumus, o tai kelia grėsmę interneto paslaugų stabilumui. Vis dėlto yra vilties, kad „Mythos“ naudojimas leis spręsti problemas dar prieš jas aptinkant piktavaliams.
Problemą dar labiau paaštrina senstančio kodo kaupimasis, kuriame gali slypėti nepastebėtos klaidos. Pavyzdžiui, „cURL kodo“ bazė dabar viršija 592 tūkst. eilučių, ir net nedidelis vieno komponento pakeitimas gali sukelti trikdžių kitose sistemos dalyse. Istoriniai precedentai, tokie kaip „Heartbleed“ pažeidžiamumas „OpenSSL“ bibliotekoje, parodė, kokios katastrofiškos gali būti ilgai nepastebėtų klaidų pasekmės.
Masinis generatyvinio DI diegimas lėmė, kad pažeidžiamumų paieškos programos, pvz. „Google“ iniciatyva ir „Internet Bug Bounty“, buvo priverstos laikinai sustabdyti paraiškų priėmimą dėl automatiškai generuojamų ataskaitų srauto. Specialistai dabartinę situaciją apibūdina kaip „atsisakymo aptarnauti“ (DDoS) tipo ataką, nukreiptą tiesiogiai į kūrėjus, o pagrindiniai inžinieriai iš „HAProxy“ ir SUSE patvirtino, kad gaunamos informacijos kiekis tapo bauginantis ir sunkiai apdorojamas.
Nepaisant rizikų, ankstyva prieiga prie pažangių DI įrankių jau padeda svarbiems industrijos veikėjams, kaip antai Greg Kroah-Hartman, efektyviau taisyti realias problemas „Linux“ kernel. Tačiau priklausomybė nuo žmogiškojo faktoriaus išlieka. Pavyzdžiui, Stenbergas vidutiniškai skiria apie dvi valandas kiekvienai problemai išspręsti ir dirba su ataskaitomis net savaitgaliais. Jis reiškia susirūpinimą, kad dabartinio tempo palaikyti neįmanoma, ir pabrėžia būtinybę skubiai keisti situaciją, siekiant išsaugoti atvirojo kodo programinės įrangos kūrėjų sveikatą ir darbingumą.
