Белый дом с помощью ИИ хочет быстрее хакеров отыскивать и устранять уязвимости

Белый дом с помощью ИИ хочет быстрее хакеров отыскивать и устранять уязвимости

изображение: grok

Администрация США представила программу Gold Eagle для объединения федеральных ведомств, разработчиков софта, операторов инфраструктуры и исследователей безопасности в одну систему поиска и устранения программных дыр. Инициатива стартует в момент, когда преступники применяют автоматизацию и ИИ для сканирования сетей быстрее, чем защитники успевают согласовать перезагрузку сервера. Для российских пользователей риск прямой — те же уязвимые продукты западных вендоров стоят в банках, телекоме, промышленности и госсекторе России, а автоматизированные атаки не спрашивают паспорт жертвы.

Главная задача Gold Eagle — резко сократить окно между обнаружением ошибки и установкой рабочего патча. Власти хотят уйти от потока разрозненных уведомлений к системе, которая сразу помогает понять опасность дыры, определить очерёдность и подобрать способ закрытия. Программа свяжет представителей Белого дома, Минфина, Министерства внутренней безопасности, CISA, Пентагона, частных компаний и сообществ разработчиков открытого ПО.

Вашингтон уже запускал похожие проекты сотрудничества государства и технологического рынка. Результаты выходили разные, а громкие анонсы не всегда приводили к заметному ускорению защиты. Gold Eagle сосредоточится на конкретной боли — программных ошибках и слишком медленной установке заплаток. По данным Белого дома, система уже принимает сообщения об уязвимостях, проверяет результаты автоматического сканирования и рассылает государственным и корпоративным командам рекомендации по устранению.

Скотт Бессент, министр финансов США, сообщил, что власти намерены плотно работать с частным сектором. Пит Хегсет, глава Пентагона, призвал приблизить киберпространство к уровню готовности военной среды. За этими словами скрывается приземлённая проблема — атакующий находит брешь, проверяет её и запускает вторжение за минуты, а компании требуется несколько дней на согласования, тестирование и окно обслуживания.

Интересно, что Gold Eagle — не просто ещё один канал уведомлений, а попытка собрать оценку опасности, готовые патчи и приоритеты в один поток, доступный и федеральным ведомствам, и частным операторам.

Основные направления работы Gold Eagle можно свести к нескольким пунктам:

  • приём отчётов об уязвимостях от исследователей и вендоров;
  • проверка результатов автоматического сканирования;
  • составление единого списка приоритетов для операторов;
  • выдача рекомендаций по устранению с указанием сроков;
  • обмен телеметрией между государственными и частными участниками.

Верхнее место в структуре первичного доступа злоумышленников теперь занимает эксплуатация программных дыр. Отчёт Verizon Data Breach Investigations Report 2026 показал, что около 31% утечек стартовали с использования уязвимостей. Такой способ проникновения обошёл кражу учётных записей и вышел на первое место. Google Mandiant в M-Trends 2026 зафиксировал 32% взломов через эксплойты — шестой год подряд этот путь лидирует.

Для атакующих уязвимый сервер выглядит привлекательнее социальной инженерии. Не нужно уговаривать сотрудника открыть файл или назвать пароль — достаточно найти систему без патча и отправить подготовленный запрос. Автоматические сканеры одновременно проверяют тысячи адресов, а появление рабочего эксплойта превращает поиск жертв в массовый технический процесс. ИИ ускоряет анализ обновлений, генерацию кода и подбор вариантов, поэтому автору атаки уже не обязательно быть автором самой уязвимости.

Изменилась не только скорость поиска слабых мест, но и движение внутри преступной экосистемы. Mandiant отметил резкое сокращение времени между первичным взломом и передачей доступа другой группировке. В 2022 году средний интервал превышал восемь часов, к 2025 году он ужался до 22 секунд. Одна команда находит уязвимый сервер, закрепляется в сети и передаёт доступ оператору вымогателя раньше, чем сотрудник жертвы увидит первое предупреждение.

Раньше посреднику требовалось описать жертву, связаться с покупателем и вручную передать данные. Теперь сделки, проверка доступа и подключение новой группы автоматизируются. Один участник цепочки специализируется на поиске открытых дверей, второй выбирает жертву и вымогает деньги, ИИ склеивает этапы и помогает выполнять техническую работу.

Стоит обратить внимание, что оператору программ-вымогателей больше не нужно самому искать дыру — он покупает готовый доступ и сразу переходит к краже данных или шифрованию систем.

Признаки атаки нового поколения, за которыми стоит следить корпоративным командам:

  • резкий рост сканирований периметра после публикации CVE;
  • подозрительная активность на непропатченных пограничных устройствах;
  • появление служебных учётных записей без явного владельца;
  • короткий интервал между первичным входом и попыткой шифрования;
  • следы генеративных инструментов в командах атакующего.

Программа-вымогатель JadePuffer уже показала, что ИИ-агент способен выполнять значительную часть работы вторжения — изучать систему, корректировать команды и двигаться дальше после неудач. Подобная модель опасна не лишь для крупных группировок. По мере удешевления вычислений инструменты доходят до небольших команд с ограниченным опытом, и часть знаний участник получает прямо во время атаки.

Национальный институт стандартов и технологий США уже прогнулся под объёмом. В апреле NIST объявил, что будет уделять повышенное внимание ошибкам из каталога CISA, программам федеральных ведомств и продуктам, отнесённым к критически значимым. Обработка остальных записей может занимать дольше — традиционная модель не справляется с потоком новых находок. ИИ создаёт больше отчётов, чем эксперты успевают проверить, описать и опубликовать.

Что означает всё это для российских пользователей и компаний? Уязвимости в продуктах Microsoft, VMware, Cisco, Fortinet, Ivanti, Citrix и открытых библиотеках закрывают крышу в московском офисе так же плохо, как в американском. Автоматические сканеры не разбирают доменные зоны — они бьют по всем открытым портам подряд. Российские банки, операторы связи, промышленные предприятия и госструктуры получают те же 22 секунды на реакцию. Санкционные ограничения на доступ к некоторым обновлениям делают ситуацию сложнее, а не проще, поскольку часть систем остаётся без свежих заплаток дольше нормативных сроков.

Меры защиты, которые актуальны для российских операторов инфраструктуры уже сейчас:

  • мониторинг каталога CISA KEV даже без прямой федеральной подписки;
  • ускоренная выкатка патчей на периметр вместо ежемесячных окон;
  • сегментация сети и отключение неиспользуемых внешних сервисов;
  • резервные копии в изолированных хранилищах;
  • регулярная тренировка команд реагирования на инциденты.

Централизация информации создаёт и новый риск. В одном центре могут оказаться сведения о незащищённых системах, критической инфраструктуре и слабых местах популярных продуктов. Для иностранных разведок и преступных группировок подобная база станет чрезвычайно ценной целью — украденный список приоритетов подскажет, где исправления ещё не развернуты. Поэтому Gold Eagle придётся защищать не хуже систем, которые она собирается спасать.

Экспертная редакция CISOCLUB считает запуск Gold Eagle шагом в верном направлении, но с большим количеством вопросов к архитектуре и защите самой системы. Централизация данных об уязвимостях даёт огромное преимущество защитникам, если обмен построен прозрачно, и создаёт колоссальный риск, если база окажется скомпрометирована.

Российским компаниям стоит следить за форматами обмена телеметрией, которые будут приняты в рамках программы — они с высокой вероятностью станут отраслевым стандартом. Практический вывод для отечественных команд безопасности — не ждать локальных аналогов, а уже сейчас перестраивать процессы патч-менеджмента под скорость машины, а не человека. Окно в 22 секунды между взломом и передачей доступа не оставляет пространства для ежемесячных совещаний.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: