[Перевод] Иголка в стоге сена: как LLM помогают искать уязвимости

15.05.2026 09:10:52 | Хабр

Хабы: Блог компании Бастион, Информационная безопасность, Машинное обучение

За последние несколько недель я отправил довольно много репортов об уязвимостях. Небольшая их часть уже исправлена и раскрыта через бюллетени безопасности. Все они найдены исключительно с помощью LLM, без какого-либо ручного ревью исходного кода. Проекты, в которых я нашел эти проблемы, хорошо известны и широко используются. Среди них есть известные вроде Parse Server, HonoJS, ElysiaJS, Harden Runner и еще около десятка заметных проектов.

На мой взгляд, это доказывает: агентные CLI/TUI-инструменты вроде OpenAI Codex без всяких сомнений могут помогать находить серьезные уязвимости. Но как именно использовать их так, чтобы выявлять неочевидные проблемы? По итогам экспериментов и тысяч и тысяч промптов, отправленных в попытках найти уязвимости, я пришел к нескольким выводам. Возможно, они небезупречны с теоретической точки зрения, но это самые практичные выводы, к которым я смог прийти.

Подробнее

Читайте также

Эксперимент: как pgpro_pwr помог проверить настройки PostgreSQL 17
15.05.2026 09:10:33 | Хабр

AI-ассистент для вайб-кодинга — он не лучше, он(и) … с другой планеты
15.05.2026 09:08:32 | Хабр

Геймификация продуктивности: как не забросить таск-менеджер через неделю
15.05.2026 09:05:12 | Хабр

Оверклокинг умер, да здравствует андервольтинг: как современные процессоры перестали разгонять и начали оптимизировать
15.05.2026 09:00:36 | Хабр

Что такое MCP. Как работает киллер-фича современности под капотом
15.05.2026 08:59:48 | Хабр

Шесть аудиторий вашей карьеры: пятеро за моим столом
15.05.2026 08:52:29 | Хабр

В России подготовят правила для внедрения ИИ в строительстве
15.05.2026 08:49:13 | ferra.ru

Полезный гнев природы: разрушение метана во время извержения вулкана
15.05.2026 08:45:02 | Хабр

Обзор российских ИИ-платформ корпоративного уровня: изучаем архитектуру SimpleOne GenAI, BPMSoft AI, ELMA Cortex
15.05.2026 08:36:30 | Хабр

Подорожает ли облако в России в 2026 году. Спойлер: уже подорожало, и это только начало
15.05.2026 08:31:29 | Хабр

В Google Translate появится живой перевод без интернета
15.05.2026 08:24:38 | ferra.ru

Какой подход к предсказанию последовательности стоит выбрать
15.05.2026 08:24:14 | Хабр

День 1541: объём денег на срочных вкладах россиян в марте 2026 года сократился на 290 млрд рублей — впервые с осени 2023-го
15.05.2026 08:22:55 | vc.ru

Переговорное мышление
15.05.2026 08:20:16 | Хабр

Криптографический алгоритм «Криптонита» S3G-5G для безопасности сетей 5G прошёл этап согласования в ТК 26
15.05.2026 08:16:26 | Хабр

[Перевод] Фотографическая память — это миф: вот что на самом деле говорят исследования о работе памяти
15.05.2026 08:13:25 | Хабр

Каналы и авторизация в Centrifugo: как безопасно подключить real-time в Laravel
15.05.2026 08:01:08 | Хабр

[Перевод] Mission Impossible: как добиться 0 рекомпозиций в сложном кастомном UI
15.05.2026 08:00:20 | Хабр

Трудности перевода: почему LLM не умеют писать нормальные докстринги на русском и как это исправить
15.05.2026 08:00:20 | Хабр

Тестируем NVIDIA HGX B300 — инференс-сервер с 8 GPU и 2,3 ТБ VRAM на DeepSeek, Qwen и MiniMax
15.05.2026 08:00:19 | Хабр

Devise в Ruby on Rails
15.05.2026 07:57:18 | Хабр

Теряет ли OpenAI деньги на подписках и другие прикидки на салфетке
15.05.2026 07:54:49 | Хабр

Что я узнал, делая прототип банкового чата с ИИ
15.05.2026 07:53:05 | Хабр

NeuroXess. Исследуем мозговой чип из Китая, вживленный уже 54 реципиентам
15.05.2026 07:51:13 | Хабр

Цифровой двойник Атома: как процесс симуляции меняет профессию инженера
15.05.2026 07:46:09 | Хабр

Телеграм-бот переклички автовладельцев на Kotlin Native
15.05.2026 07:43:17 | Хабр

Сравнение моделей конкурентности JVM языков: Kotlin coroutines, ZIO runtime и Clojure
15.05.2026 06:57:21 | Хабр

Гиперэкономия на токенах с API SpeShu.AI: как работает новое кэширование
15.05.2026 06:56:29 | Хабр

Я написал свой DNS-резолвер на Go вместо того, чтобы взять Unbound. Вот почему и что из этого вышло
15.05.2026 06:50:55 | Хабр

Шахматные программы II. Отсечения
15.05.2026 06:33:22 | Хабр

CTE в PostgreSQL: как писать сложные запросы просто
15.05.2026 06:30:44 | Хабр

CRUD без боли: форма запроса как граница безопасности поверх Prisma
15.05.2026 06:14:22 | Хабр

Шахматные программы I. Вступление
15.05.2026 06:03:13 | Хабр

Когнитивная зарубка: Что мы теряем, работая с LLM, и при чём здесь невесомость
15.05.2026 06:02:17 | Хабр

Каким ИИ был до мощных компьютеров?
15.05.2026 06:00:38 | Хабр

Смотреть все

НОВОСТИ

Потенциал рынка исламских финансов в России оценили
15.05.2026 14:12:52 | Lenta.ru

Путин оценил уровень безработицы в России
15.05.2026 14:12:40 | Lenta.ru

«Всё в мусор‎»: На борт самолёта Трампа запретили брать подарки от Китая
15.05.2026 14:11:41 | Life.ru

Итоги переговоров Трампа и Си Цзиньпина оценили
15.05.2026 14:09:39 | Lenta.ru

В Сухумский порт прибыл первый рейс "Кометы" из Сочи
15.05.2026 14:08:49 | ТАСС

DPA: экоактивисты пытались сорвать выступление Мерца в Вюрцбурге
15.05.2026 14:08:40 | ТАСС

Госдума отклонила законопроект о штрафах за превышение средней скорости
15.05.2026 14:07:44 | ТАСС

Разработчика игр Embracer оштрафовали из-за закона о персональных данных
15.05.2026 14:07:39 | ТАСС

Трамп: США и Китай достигли хорошего взаимопонимания по вопросам Тайваня и Ирана
15.05.2026 14:07:04 | ТАСС

Нарколог рассказал о происхождении «трезвых пятен» на «алкогольной карте России»
15.05.2026 14:06:33 | Life.ru

Названа причина розыска главреда "Говорит НеМосква" Мучника
15.05.2026 14:06:12 | ТАСС

У гадалки Ермака нашли семью в России
15.05.2026 14:06:10 | Life.ru

Во Львове мэра облили неустановленной жидкостью
15.05.2026 14:06:08 | ТАСС

ВТБ профинансировал туристические проекты в Приморье на 840 млн рублей
15.05.2026 14:06:07 | ТАСС

Рособрнадзор дал рекомендации по защите от мошенников, предлагающих ответы ЕГЭ
15.05.2026 14:06:03 | ТАСС

Иран и США отложили обсуждение проблемы обогащенного урана из-за крайней сложности темы
15.05.2026 14:05:03 | ТАСС

Названы самые влюбленные в Россию иностранцы
15.05.2026 14:04:28 | Lenta.ru

France Inter: во Франции спрос на респираторы из-за хантавируса вырос в пять раз
15.05.2026 14:04:25 | ТАСС

Украина вернула из плена воевавших в Мариуполе бойцов «Азова»
15.05.2026 14:04:19 | Lenta.ru

Нефтяники подтвердили подготовку госрегулирования цен на бензин
15.05.2026 14:03:51 | Lenta.ru

За Ермака внесли многомиллионный залог
15.05.2026 14:03:17 | Lenta.ru

Российское «оружие апокалипсиса» сочли угрозой для Лондона
15.05.2026 14:03:05 | Lenta.ru

Мирошник: Российскому бойцу отрезали фаланги пальцев в украинском плену
15.05.2026 14:03:00 | Российская Газета

Путин отметил рост промышленности в России на 2,3% за месяц
15.05.2026 14:02:16 | Life.ru

Путин наградил ушедшего в отставку губернатора Гладкова
15.05.2026 14:02:00 | Lenta.ru

В Новосибирске подросток пытался поджечь вагон на станции
15.05.2026 14:01:39 | ТАСС

Тираж открыток и марок выпустили к 80-летию "Российских космических систем"
15.05.2026 14:01:35 | ТАСС

Стамбульский суд отклонил требования участников процесса по делу о вилле Тарабья
15.05.2026 14:00:47 | ТАСС

На три месяца без ограничений: Полный список безвизовых для россиян стран в 2026 году
15.05.2026 14:00:23 | Life.ru

Покорили сердца. Как "Хартс" оказался в шаге от первого чемпионства за 66 лет
15.05.2026 14:00:18 | ТАСС

Путин наградил Гладкова орденом Александра Невского
15.05.2026 14:00:09 | ТАСС

Директор ЦРУ прилетел в Гавану, чтобы убедиться в отсутствии террористов на Кубе
15.05.2026 13:59:53 | Life.ru

МИД Грузии: аннулирование Молдавией аккредитации журналистов вызывает тревогу
15.05.2026 13:59:37 | ТАСС

В Кремле оценили ситуацию с топливом на Кубе
15.05.2026 13:59:36 | Lenta.ru

Иран заявил о готовности как к возобновлению войны, так и к возвращению к переговорам
15.05.2026 13:59:35 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro