← На главную

Компании закрывают код из-за багов агентов AI

15.05.2026 11:37 · hackernews

Лето 2026 года обещает быть сложным временем для разработчиков open source. Количество заявок на безопасность в компании Metabase выросло с десяти случаев в месяц до десяти в неделю, причем многие из них подтвердились. Основной драйвер — массовое использование искусственного интеллекта для сканирования кода. Агенты вроде Claude Code или Codex теперь автоматически находят уязвимости с высокой точностью, часто отправляя отчеты, сгенерированные нейросетью. Раньше отчеты разбивались на две категории: поверхностный поиск сканерами OWASP и глубокие расследования опытных исследователей. Сейчас происходит «шахта» — любой доступный код выкапывают слой за слоем до самых глубоких проблем, просто оплачивая токенами. Это меняет правила игры. Этические исследователи и коммерческие SaaS сервисы теперь мотивированы искать баги, рекламируя свои услуги в отчетах, что создает конкурентную среду с тысячами подобных предложений. В итоге преимущество open source над закрытым кодом нивелируется, так как автоматизированное сканирование одинаково эффективно для обоих типов проектов.

Компании, подобные Cal.com, вынуждены переводиться на закрытый исходный код, чтобы избежать потока публичных уязвимостей и не тратить ресурсы на их исправление в ближайшие месяцы. Неприбыльные проекты получают огромное давление, так как у коммерческих конкурентов есть деньги нанимать людей для работы в нерабочее время. Даже если баг был засекречен по договору, он считается открытым, так как любой другой агент найдет его быстро. Вам придется жить в режиме реакции, исправляя всё сразу, независимо от планов. Для владельцев закрытого софта появляется новая угроза утечки исходного кода — одного компрометирования хватит, чтобы найти множество дыр. Рекомендации таковы: ожидайте частых обновлений, монитринг и фиксацию всех зависимостей open source. Внедрите защиту в глубину, усильте логирование и следуйте принципу наименьших привилегий. Все, что делается в прошлом, нужно делать теперь агрессивнее. Да, этот путь будет болезненным в краткосрочной перспективе, но после начального шторма код станет безопаснее. Просто будет плохо на пути к улучшению.

Читать оригинал →