Capital One запустив VulnHunter: ШІ-інструмент, що виявляє вразливості в коді швидше за зловмисників

Capital One представляє VulnHunter: Революційний ШІ-інструмент для виявлення вразливостей у коді
У четвер компанія Capital One представила VulnHunter – інструмент зі сфери штучного інтелекту з відкритим вихідним кодом, який призначений для сканування програмного коду на наявність потенційно експлуатованих вразливостей. Цей інноваційний застосунок не тільки виявляє слабкі місця, але й моделює шлях, яким зловмисник міг би їх використати, пропонуючи при цьому цілеспрямовані рішення для їх усунення ще до того, як код буде впроваджено у виробниче середовище. Розроблений внутрішніми фахівцями Capital One та опублікований на GitHub під ліцензією Apache 2.0, VulnHunter є одним із найамбітніших кроків великої фінансової установи у напрямку перетворення передових можливостей штучного інтелекту на загальнодоступний ресурс для кібербезпеки.
На тлі зростання кількості нових загроз, пов’язаних зі штучним інтелектом, рішення Capital One щодо відкритості інструменту, за словами директора з інформаційної безпеки (CISO) Кріса Німса, відображає прагнення протидіяти “дедалі коротшому часовому вікну, протягом якого витончені можливості атак наступного покоління на основі ШІ стануть доступними практично будь-якому супротивнику”.
Нова парадигма пошуку вразливостей: “Атакувально-орієнтований” аналіз
VulnHunter виходить за рамки стандартних сканерів вразливостей. Компанія називає його підхід “атакувально-орієнтованим попереднім аналізом” (attacker-first forward analysis). Ця методологія передбачає, що інструмент починає роботу з точок входу для реального зловмисника, таких як API, мережеві повідомлення або завантаження файлів. Далі він аналізує логіку програми, щоб визначити, чи може шлях експлуатації пройти через існуючі захисні механізми. На відміну від цього, традиційні сканери зазвичай працюють у зворотному напрямку: спочатку виявляють потенційно небезпечний шаблон у коді, а потім шукають гіпотетичного зловмисника. Цей метод, як визнають фахівці з безпеки, призводить до величезної кількості хибних спрацьовувань, що перевантажує інженерні команди.
Інноваційний механізм спростування для зменшення хибних спрацьовувань
VulnHunter вирішує цю проблему за допомогою другої інновації: вбудованого “механізму спростування” (falsification engine). Цей компонент намагається спростувати власні висновки ще до того, як розробник їх побачить. Після виявлення потенційної вразливості, структурований робочий процес аналізу шукає логічні прогалини, необґрунтовані припущення та умови, які могли б завадити успішній експлуатації. Лише ті висновки, які механізм не зміг спростувати, потрапляють до людини-аналітика. І коли це відбувається, VulnHunter надає не просто сповіщення, а повне пояснення шляху експлуатації та пропозицію щодо виправлення коду, готового для інженерного перегляду.
Наразі інструмент працює на моделі Anthropic Claude Opus 4.8 у середовищі Claude Code. Однак Capital One зазначає, що сама архітектура VulnHunter має потенціал для роботи з іншими базовими моделями та програмними оболонками.
Чому Capital One ділиться інструментом з усіма?
Відповідаючи на запитання про причини відкритості такого важливого інструменту, Німс наголосив на спільному характері проблеми безпеки.
“Ми відчули нагальну потребу відкрити VulnHunter, оскільки сучасні ланцюжки поставок програмного забезпечення тісно пов’язані, а масштаби загроз, що створюються ШІ, перевищують можливості будь-якої окремої організації”, – розповів Німс виданню VentureBeat. “Захист програмного забезпечення та наших цифрових середовищ – це спільна основа, яка приносить користь розробникам, підприємствам і людям, які покладаються на системи, що ми всі будуємо. Захисні інструменти для протидії цій реальності повинні бути так само широко розповсюджені, протестовані та вдосконалені, як і кодові бази, які вони захищають”.
“Замість того, щоб чекати”, – додав він, – “ми вирішили, що правильна відповідь – це створити продукт, який ідеально відповідає складній ситуації в галузі безпеки сьогодні, і передати його в руки захисників по всьому світу”.
Як Capital One, на його думку, посилює безпеку кожного, відкриваючи VulnHunter
Випуск інструменту відбувається на тлі подій, добре відомих компанії. 19 липня 2019 року Capital One повідомила про несанкціонований доступ до даних клієнтів та заявників, включаючи імена, адреси, дані про доходи, номери соціального страхування та пов’язані банківські рахунки. Злом, який, за словами Capital One, стався 22-23 березня 2019 року, було виявлено лише після того, як зовнішній дослідник безпеки виявив уразливість конфігурації через Програму відповідального розкриття інформації компанії 17 липня того ж року.
Наслідки були масштабними. Постраждало близько 100 мільйонів осіб у США та 6 мільйонів у Канаді. Було скомпрометовано приблизно 140 000 номерів соціального страхування, близько 80 000 номерів банківських рахунків та приблизно 1 мільйон канадських номерів соціального страхування. ФБР заарештувало підозрювану особу, і уряд заявив, що дані були відновлені без ознак шахрайства. Однак репутаційні та регуляторні втрати були величезними.
У серпні 2020 року Управління казначея контролера (Office of the Comptroller of the Currency) оштрафувало Capital One на 80 мільйонів доларів (приблизно 3 160 000 ₴ за поточним курсом), дійшовши висновку, що банк не вжив належних заходів для виявлення та управління ризиками під час перенесення значних технологічних операцій у хмару. Як повідомляло Reuters, у наказі OCC зазначалися недостатні засоби контролю мережевої безпеки, неефективні заходи запобігання втраті даних та провал Ради директорів у притягненні керівництва до відповідальності після виявлення проблем внутрішнім аудитом. OCC також зобов’язав Capital One переглянути свої операції та подати нові плани кібербезпеки на розгляд регулятора.
Видання CyberScoop назвало цей інцидент “застережливою історією для компаній, які поспішають впроваджувати нові технології”. Генеральний директор Capital One Річард Д. Фейрбенк визнав серйозність моменту: “Хоча я вдячний, що зловмисника спіймано, я глибоко шкодую про те, що сталося”, – сказав Фейрбенк. “Я щиро перепрошую за зрозуміле занепокоєння, яке цей інцидент міг викликати у постраждалих, і я зобов’язуюсь виправити ситуацію”.
Як Capital One відновив свою репутацію у сфері безпеки завдяки інвестиціям у відкритий код
Подальші дії полягали не у відмові від технологій, а в їх посиленні, з явним фокусом на безпеку.
Capital One почала випускати проєкти з відкритим вихідним кодом у 2014 році та оголосила себе компанією “open-source first” у 2015 році як частину ширшої технологічної трансформації, що розпочалася понад десятиліття тому. Компанія продовжувала інвестувати в безпеку ланцюжків поставок програмного забезпечення, управління відкритим кодом та захист на основі ШІ. У серпні 2022 року Capital One приєдналася до Open Source Security Foundation (OpenSSF) як преміум-член, отримавши місце в Керівному комітеті організації. Кріс Німс, тодішній віцепрезидент з хмарних технологій та інженерії продуктивності, назвав цей крок природним продовженням операційної філософії компанії. “Як компанія, що підлягає суворому регулюванню, ми маємо великий досвід управління відповідністю та правилами, і виступаємо за стандартизацію, автоматизацію та співпрацю”, – зазначив Німс у заяві OpenSSF.
За цим публічним зобов’язанням стояла значна операційна структура. Офіс програм відкритого коду Capital One, який зараз перебуває у своїй третій ітерації, керує використанням відкритого коду, внесками та розбудовою спільноти в межах підприємства. За даними компанії, вона випустила понад 40 проєктів з відкритим вихідним кодом і зробила тисячі внесків до зовнішніх проєктів з відкритим кодом, від яких залежить. Ці зусилля охоплюють не тільки залежності коду, але й весь життєвий цикл розробки програмного забезпечення – інструменти DevSecOps, інфраструктуру та колаборативні середовища, як внутрішні, так і зовнішні, що формують спосіб створення та постачання програмного забезпечення.
VulnHunter є найважливішим результатом цієї багаторічної роботи – і найчіткішим сигналом того, що Capital One розглядає співпрацю у сфері відкритого коду не як благодійність, а як конкурентну стратегію безпеки. Компанія стверджує, що сучасні ланцюжки поставок програмного забезпечення настільки тісно взаємопов’язані, що одна вразливість у широко використовуваному компоненті з відкритим вихідним кодом може каскадно вплинути на тисячі підприємств одночасно. Пропрієтарні засоби захисту, якими б витонченими вони не були, не можуть вирішити проблему, яка є за своєю суттю спільною. Випускаючи VulnHunter під дозвільною ліцензією, Capital One запрошує глобальну спільноту дослідників безпеки тестувати, розширювати та вдосконалювати інструмент – фактично, краудсорсинг власної інфраструктури захисту, одночасно зміцнюючи ширшу екосистему.
Як триетапний ШІ-механізм VulnHunter знаходить експлуатований код
Для керівників інженерних відділів, які оцінюють VulnHunter, технічна архітектура є ключовою для розуміння амбіцій інструменту. Робочий процес розгортається у три чіткі етапи.
Етап 1: Атакувально-орієнтований попередній аналіз (Attacker-First Forward Analysis). На цьому етапі VulnHunter починає роботу з точок взаємодії зовнішнього зловмисника з системою: API-ендпоінти, обробники мережевих повідомлень, інтерфейси завантаження файлів. З кожної точки входу інструмент аналізує логіку програми, відстежуючи потоки даних, трансформації та внутрішні контрольні точки безпеки, щоб визначити, чи може зловмисник фактично досягти небезпечного шляху виконання коду. Цей підхід імітує те, як кваліфікований тестувальник на проникнення досліджує систему, але автоматизує процес у масштабах, недосяжних для жодної людської команди.
Етап 2: Механізм спростування (Falsification Engine). Саме тут VulnHunter найбільше відрізняється від звичайних сканерів. Виявивши потенційну вразливість, механізм спростування запускає структурований робочий процес, розроблений для спростування власного висновку. Він шукає невиправдані припущення, логічні прогалини у шляху експлуатації та умови середовища, які могли б перешкодити атаці. Висновки, які не проходять цю внутрішню перевірку, відкидаються ще до того, як їх побачить розробник. Пряма мета Capital One – перенести тягар роботи з розробника з фальшивих спрацьовувань, які підривають довіру до інструментів безпеки та сповільнюють швидкість розробки.
Етап 3: Робочий процес виправлення на основі доказів (Evidence-Backed Remediation Workflow). Вразливості, які пережили механізм спростування, ініціюють робочий процес виправлення. VulnHunter збирає підтверджуючі докази з кодової бази, відображає повний шлях експлуатації, що залишився, пояснює дефект та специфічні можливості, які отримав би зловмисник, і генерує цільові зміни коду для інженерного перегляду. Результатом є не загальна порада, а конкретна, контекстно-залежна пропозиція щодо виправлення.
Capital One повідомляє, що вони успішно протестували VulnHunter внутрішньо перед випуском, застосувавши його до тисяч репозиторіїв, що охоплюють десятки бізнес-напрямків. Компанія стверджує, що інструмент виявив та виправив вразливості зі швидкістю та ефективністю, що значно перевершують результати, досягнуті їхніми командами раніше під час ручної обробки.
Чому атаки з використанням ШІ змушують банки переглядати традиційні методи кіберзахисту
VulnHunter з’являється в момент, коли ландшафт кібербезпеки кардинально змінюється. Заява Capital One чітко окреслює терміновість: передові моделі ШІ “суттєво знизили бар’єр для зловмисників у виявленні та експлуатації вразливостей у програмному забезпеченні”, а часове вікно, протягом якого складні можливості атак на основі ШІ стануть доступними та доступними практично для кожного супротивника, швидко скорочується.
“Захист інформації є надзвичайно важливим для нашої місії та ролі фінансової установи”, – сказав Німс VentureBeat. “Ми інвестували значні кошти в кібербезпеку і продовжуватимемо це робити, щоб випереджати сучасні тенденції загроз”.
Власні дослідники Capital One у галузі безпеки, пов’язаної зі ШІ, уважно стежать за цими тенденціями. На конференції NeurIPS 2024 у Ванкувері команда Capital One представила дослідження та зібрала список із майже 100 статей, присвячених безпеці LLM, стійкості до атак, атакам “jailbreak” та генерації синтетичних даних. Вибрані ними роботи – зокрема, дослідження щодо багатоагентних систем захисту, автоматизованого червоного тестування та класифікаторів-охоронців – малюють картину гонки озброєнь, в якій наступальні та оборонні можливості ШІ розвиваються паралельно з шаленою швидкістю.
Кілька з цих дослідницьких тем безпосередньо відповідають архітектурі VulnHunter. Механізм спростування відображає стратегії ворожого захисту, досліджені в таких статтях, як “BackdoorAlign”, яка показала, що вбудовування структурованого механізму безпеки в невелику кількість навчальних прикладів може відновити узгодженість моделі з безпекою без зниження продуктивності. Атакувально-орієнтований попередній аналіз відображає філософію “WildTeaming” – фреймворку, який збирає та аналізує реальні спроби “jailbreak”, щоб створити більш стійкі моделі. А акцент VulnHunter на мінімізації хибних спрацьовувань паралельний цілям “GuardFormer” – класифікатора-охоронця, який перевершив GPT-4 за показниками безпеки, працюючи в 14 разів швидше.
Нить, що пов’язує всю цю роботу, – це переконання, що традиційні, реактивні методи безпеки (моніторинг мереж, виправлення відомих вразливостей, реагування на інциденти після їх виникнення) більше не є достатніми, коли супротивники можуть використовувати ШІ для виявлення та експлуатації вразливостей нульового дня зі швидкістю машини. Єдиний надійний захист, стверджує Capital One, – це знайти та виправити вразливості у власному коді раніше, ніж їх знайдуть зловмисники.
Що шлях Capital One у хмарі розкриває про всю банківську галузь
Хмарна подорож Capital One також висвітлює ширше переосмислення у фінансовому секторі. Коли Capital One активно переходила на Amazon Web Services у середині 2010-х років, це було рідкістю серед великих банків. Більшість фінансових установ просто не довіряли третім сторонам зберігання своїх найчутливіших даних. Тодішній ІТ-директор Capital One Роб Александер публічно просував хмару як більш безпечне рішення, ніж власні дата-центри банку – твердження, яке значно ускладнилося після інциденту 2019 року.
Звіт CyberScoop того періоду відобразив напруженість у галузі. В. Патрік Опет, керуючий директор з кібербезпеки в JP Morgan Chase, описав культурний зсув у банківській справі від пріоритету трейдерів до пріоритету розробників: “Тепер це: ‘Зосередьтеся на розробнику, перетворіть усе на код і автоматизуйте все'”. Марк Ніколсон, керівник відділу кібербезпеки Deloitte у фінансовій галузі, зазначив, що тиск щодо швидких дій виявив “слабкості в методології розробки”. Сам інцидент став нагадуванням про те, що навіть коли Chase витрачав 600 мільйонів доларів на рік на кібербезпеку, відносно прості вразливості – як-от помилка Apache Struts, що призвела до зламу Equifax – могли підірвати масштабні інвестиції в захист даних.
Через сім років галузь переважно пішла за Capital One у хмару, а виклики безпеки лише посилилися. Питання вже не в тому, чи використовувати хмарну інфраструктуру, а в тому, як захистити програмне забезпечення, що на ній працює. VulnHunter представляє собою відповідь Capital One: замість того, щоб покладатися виключно на мережеві засоби контролю та периметральний захист, перенести безпеку безпосередньо в сам код, в момент його написання. Відкритий випуск також несе прихований конкурентний тиск. Якщо VulnHunter здобуде прихильність серед розробників та команд безпеки, він може встановити новий стандарт того, що повинні робити корпоративні засоби безпеки, і змусити конкуруючі банки, фінтех-компанії та хмарних провайдерів відповідати або перевершувати його можливості.
Чи виправдає VulnHunter ці амбіції, залежатиме від рівня прийняття, залучення спільноти та реальної продуктивності інструменту проти все більш складних атак на основі ШІ, для протидії яким він був розроблений. Але сам випуск розповідає історію, яка виходить далеко за межі будь-якого окремого інструменту чи компанії. У 2019 році неправильно налаштований міжмережевий екран виявив 100 мільйонів записів і зробив Capital One синонімом ризику неправильної конфігурації хмари. У 2026 році та сама установа випускає оборонну систему на базі ШІ, розроблену для нового покоління загроз, і робить ставку на те, що найкращий спосіб захистити власний код – це допомогти всій галузі захистити свій.
Порада від INFBusiness:
VulnHunter – це потужний крок вперед у сфері кібербезпеки, особливо для розробників та компаній, які прагнуть забезпечити надійний захист свого програмного забезпечення. Його здатність знаходити та виправляти вразливості ще до випуску продукту може значно зменшити ризики витоку даних та репутаційні втрати. Використання цього інструменту може стати ключовим фактором для підвищення загального рівня безпеки ваших проєктів.
Дізнатися більше на: venturebeat.com
