За счёт ИИ Apple стала выпускать патчи для своего ПО в 10 раз чаще и быстрее

За счёт ИИ Apple стала выпускать патчи для своего ПО в 10 раз чаще и быстрее

изображение: grok

Apple выпустила пакет патчей для своих ОС и Safari, закрыв свыше 30 уязвимостей. Часть критичных багов в движке WebKit нашли нейросети Codex и Claude, и сама корпорация признаёт — генеративные модели заставили её радикально пересмотреть скорость выпуска заплаток.

Новые сборки доступны для iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 и Safari 26.5.2. В Купертино уточнили, что на момент релиза ни одна из закрытых дыр не светилась в реальных атаках на пользователей.

Главный интерес у исследователей вызвали четыре проблемы в WebKit — открытом браузерном движке, на котором держится Safari и десятки сопутствующих приложений во всей экосистеме Apple. Три бага вскрыл инструмент OpenAI Codex Security, а четвёртый отыскали Милад Наср и Николас Карлини из Anthropic вместе со связкой моделей Claude.

Интересно, что речь идёт не о синтетических тестах, а о реальных уязвимостях в продакшен-коде, который ежедневно работает на сотнях миллионов устройств.

CVE-2026-43707 затрагивала повреждение памяти при разборе подготовленного веб-контента — страница могла валить процесс браузера. Инженеры переписали логику работы с памятью, чтобы закрыть вектор. Похожая по эффекту CVE-2026-43716 тоже роняла Safari при открытии вредоносной страницы, и здесь команда переработала обработку памяти. CVE-2026-43745 опиралась на запись данных за границами выделенной области, что вело к падению браузера после рендеринга заражённого контента — исправление сводится к жёсткой проверке входных данных. Четвёртая дыра CVE-2026-43715 относится к классу use-after-free, когда программа лезет в уже освобождённый кусок памяти и провоцирует её повреждение.

Перечень правок WebKit на этом не заканчивается. Всего в движке прикрыли почти три десятка различных проблем. Среди них всплыл ещё один use-after-free в компоненте WebKit Canvas под номером CVE-2026-43720. Отдельно стоит выделить CVE-2026-43725, где подготовленный сайт мог выполнять ограниченную обработку веб-контента за пределами браузерной песочницы.

Под раздачу попали и другие узлы операционных систем. Три неприятные ошибки нашлись в ядре:

  • одна позволяла вредоносному приложению вытянуть данные о внутреннем состоянии ядра;
  • вторая давала шанс уронить устройство или записать произвольные данные прямо в память ядра;
  • третья тоже била по целостности памяти ядра.

Исследователь Хёнву Ким, прославившийся техникой Dirty Frag, числится у Apple соавтором отчётов по CVE-2026-43722 и CVE-2026-43724.

Любопытнее всего, что корпорация отдельно высказалась о собственной стратегии выпуска фиксов. В комментарии для Reuters представители Apple прямо сказали, что патчи безопасности теперь уходят пользователям заметно быстрее, чем раньше. Причиной разворота назвали стремительный рост генеративных инструментов. По мнению инженеров, современные модели способны резко ускорить написание эксплойтов и сжать окно между обнаружением свежей дыры и её боевой эксплуатацией.

Стоит обратить внимание на оценку Apple — раньше у разработчиков был запас в дни и недели, теперь интервал между находкой и атакой может схлопнуться до нескольких часов.

Поэтому в Купертино перестроили весь конвейер выпуска заплаток. Цель простая — донести защиту до миллиардов устройств максимально оперативно, не дожидаясь, пока скрипт-кидди или организованные группировки соберут готовый PoC по публичному описанию бага.

Сам прецедент с WebKit показывает другую сторону медали. Генеративные модели всё плотнее заходят в инструментарий не только атакующих, но и защитников. Нейросети уже помогают:

  • находить сложные баги в больших кодовых базах, куда руки аудитора банально не дотягиваются;
  • разбирать потенциальные пути эксплуатации найденных дефектов;
  • ускорять ревью крупных open source проектов в десятки раз;
  • сводить рутину статанализа к нескольким промптам;
  • подсвечивать неочевидные цепочки вызовов между модулями.

Для вендоров софта генеративные ассистенты постепенно превращаются в такой же штатный элемент пайплайна, как юнит-тесты или статический анализ кода. WebKit — один из первых громких кейсов, где помощь моделей напрямую отражена в release notes крупной корпорации, а имена авторов отчётов соседствуют с названиями нейросетей.

Ранее сообщалось, что Apple обновила рекомендации для пользователей, столкнувшихся с кражей iPhone, пересмотрев порядок действий после потери устройства. Как сообщало профильное издание 9to5Mac, компания дополнила инструкции новыми советами, направленными на защиту личных данных и Apple ID, а также уделила особое внимание рискам социальной инженерии. Обновлённые рекомендации помогают снизить вероятность того, что злоумышленники смогут получить доступ к аккаунту и конфиденциальной информации владельца смартфона.

Эксперты редакции CISOCLUB уверены, что кейс с WebKit фиксирует разворот всей индустрии. Привязка имён исследователей к названиям моделей в официальных release notes Apple — это не маркетинговая деталь, а признание того, что разметка ролей между человеком и машиной в багхантинге окончательно поменялась. Скорость выпуска патчей перестаёт быть конкурентным преимуществом и становится вопросом выживания продукта. Те вендоры, кто продолжит работать в логике квартальных циклов обновлений, окажутся беззащитны перед автоматизированным реверс-инжинирингом. Параллельно растёт нагрузка на корпоративные службы ИТ — раскатывать заплатки придётся в ритме, к которому пока не готова значительная часть инфраструктуры.

Редакция убеждена, что ближайшие два года переопределят сам формат бюллетеней безопасности, и Apple здесь задаёт планку, на которую придётся равняться остальным.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: