Один ИИ-инструмент обнаружил смертельную уязвимость, скрывавшуюся в Linux 15 лет, а другой ИИ из-за одной неправильно введенной цифры привел к тому, что четыре полицейские машины окружили невинного журналиста, приняв его за угонщика.
«У вас есть оружие? Выходите из машины!»
В обычное воскресенье днем автомобильный журналист Джоэл Федеp ехал в Range Rover стоимостью 155 000 долларов, чтобы вернуть его. Только он выехал на два фута с парковочного места, как четыре полицейские машины на полной скорости с четырех сторон окружили его и его жену.
Полицейские держали руки на кобурах, готовые к худшему.

28 июня 2026 года, 12:21. Момент окружения Федеpа, запечатленный на камеру полицейского. Его номерной знак был ошибочно идентифицирован системой Flock как украденный. (Источник: Joel Feder / Instagram)
Полицейские выскочили из машин с криками. Подобные ситуации легко могут обостриться, поэтому Федеp был вынужден подчиниться, поднял руки и вышел из машины.
Он стал подозреваемым в угоне.
Но он ничего не угонял. Виновником того, что его приняли за преступника, стала простая ошибка ввода на расстоянии 2000 миль, усиленная никогда не отдыхающей сетью ИИ-камер.
Почти в то же самое время другой ИИ помог людям найти смертельную уязвимость, скрывавшуюся в ядре Linux целых 15 лет и затрагивавшую почти все дистрибутивы.
Одинаковая схема «распознать шаблон, принять автоматическое решение, запустить действие». Один ИИ помогает людям устранять уязвимости, другой едва не навредил человеку. Это и есть история, о которой мы расскажем сегодня.
ИИ нашел 15-летнюю уязвимость, получив root за 5 секунд
Сначала о том, как ИИ помог людям.
Недавно компания Nebula Security сообщила, что с помощью инструмента для поиска уязвимостей VEGA на основе ИИ она обнаружила уязвимость в ядре Linux под кодовым названием GhostLock (CVE-2026-43499).

7 июля 2026 года Nebula Security опубликовала технический отчет по GhostLock (CVE-2026-43499), заявив, что уязвимость была обнаружена ИИ-инструментом VEGA и затрагивает почти все дистрибутивы Linux, начиная с 2011 года. (Источник: Nebula Security)
Этой уязвимости было 15 лет.
Она была внедрена еще в 2011 году. С тех пор практически каждый популярный дистрибутив Linux по умолчанию содержал ее, и никто этого не замечал.
Это означает: по всему миру работают бесчисленные серверы, облачные хосты и контейнеры, в основе которых заложена эта «мина».
Насколько легко ее «взорвать»? Злоумышленнику не нужны какие-либо особые права или редкие конфигурации. Просто используя обычные вызовы потоков, он может шаг за шагом подняться до наивысших привилегий и даже вырваться из контейнера.
Nebula превратила это в цепочку повышения привилегий со стабильностью 97%. На тестовой машине от обычного пользователя до root требовалось около 5 секунд. За этот результат программа Google KernelCTF наградила их 92 337 долларами.
«Демонстрация повышения привилегий через GhostLock (CVE-2026-43499): обычный пользователь запускает эксплойт, через несколько секунд в терминале отображается uid=0(root), получен полный доступ. (Видео: Nebula Security)»
Эта уязвимость скрыта в механизме управления блокировками ядра Linux. Грубо говоря, ядро «перепутало людей».
Приведем аналогию. В ядре есть функция очистки под названием remove_waiter(), которая отвечает за одну вещь: когда поток ждет в очереди на блокировку, получает ее или отказывается от ожидания, она должна очистить оставленные им записи об ожидании.
Изначально она учитывала только самый простой случай — кто встал в очередь, тот сам и должен выписаться. Поэтому она по умолчанию предполагала, что «поток, стоящий сейчас у окна, — это тот, кто должен выписаться», и каждый раз очищала данные для «текущего потока».
В эпоху, когда поток сам становился в очередь и сам выписывался, это предположение никогда не давало сбоя.
Но позже в ядре появилась новая функциональность: один поток мог встать в очередь за другой поток, который «спит» — то есть приостановлен, ожидая блокировки, отдав ЦПУ и ожидая пробуждения.
Проблема вот в чем: поток, который действительно стоит в очереди, спит, а у окна выписывается на самом деле «представитель».
Функция очистки по-прежнему мыслит по-старому: она очищает записи «представителя», но не трогает тот поток, который действительно стоит в очереди и действительно спит.
Проблема в том, что у спящего потока в руках все еще есть записка с надписью «моя информация об ожидании здесь». Эта записка указывает на небольшой фрагмент временной памяти потока (так называемый «стек», который поток возвращает после использования).
Как только он просыпается и возвращается из системного вызова, эта память немедленно освобождается и может быть занята другими данными. Но записка-то остается и все еще указывает на эту уже занятую память.
Это так называемый висячий указатель: указатель, которому все еще доверяют, но который указывает на «освобожденную и занятую другими» память. Уязвимости типа use-after-free имеют здесь свои корни.

Схема цепочки эксплуатации GhostLock: три потока (waiter, owner, consumer) создают циклическую взаимоблокировку, вызывая откат -EDEADLK, что оставляет висячий указатель; затем злоумышленник подделывает структуры ядра, реализует контролируемую запись и в итоге перехватывает поток управления, получая root. (Источник: Nebula Security)
Еще более иронично то, что собственный механизм проверки безопасности ядра lockdep ее совершенно не заметил.
Причина проста: lockdep проверяет только «удерживает ли кто-то эту блокировку», но не проверяет «принадлежит ли эта блокировка тому потоку, который вы должны очистить».
Блокировка правильная, поток неправильный — проверка пройдена.
Именно эта ошибка, допущенная более десяти лет назад, была постепенно усилена и в итоге превратилась в полный контроль над всей машиной.
Получив висячий указатель, злоумышленник может заполнить освобожденную память, на которую он указывает, поддельными данными, заставив ядро принять их за законные структуры. Это позволяет осуществить контролируемую запись, затем перехватить таблицу функций ядра и в итоге получить права root.
Хотя на этот раз вспомогательный инструмент на основе ИИ помог исследователям найти эту «спящую» 15 лет брешь, он раскрыл поразительную реальность:
Проблемы, для обнаружения которых раньше требовалось, чтобы ведущие эксперты построчно читали код и полагались на интуицию, теперь автоматизированные инструменты начинают находить в массовом порядке.
Только в 2026 году была обнародована целая серия уязвимостей для повышения привилегий в Linux, и многие из них были найдены автоматизированными инструментами.
Почти все они скрывались в самых древних, наиболее часто используемых, но годами не перечитываемых уголках ядра, оставаясь незамеченными.
ИИ превратил опечатку в общенациональную погоню
Вернемся к тому тревожному инциденту с Федеpом на парковке.
Позже он смог восстановить причину произошедшего. Настоящий украденный номерной знак был 34 03 DTM, но когда его внесли в национальную базу данных об украденном имуществе (NCIC), маленькие цифры «03» посередине пропустили, оставив только 34 DTM.
Из-за отсутствия двух цифр все пошло не так.
А номерной знак тестового автомобиля Федеpа был 34 10 DTM. Из-за особого формата номерных знаков производителя в Нью-Джерси, средние цифры на них имеют очень маленький шрифт. ИИ-камера Flock вообще не считала эти маленькие цифры, распознав только «34 DTM», и начала подавать сигналы тревоги во все полицейские участки на своем пути.

Изображение, захваченное камерой Flock, предоставленное полицией. Номерной знак читается как 34 10 DTM, цифры «10» посередине очень маленькие. Система распознала только «34 DTM» и активировала тревогу. (Источник: Joel Feder / The Drive)
Камеры Flock сканируют около 20 миллиардов номерных знаков в месяц.
Одна опечатка при вводе в Лос-Анджелесе была усилена и распространена по всей стране автоматической сетью распознавания, передаваясь из Калифорнии в Миннесоту и превратившись в итоге в четыре полицейские машины, один дрон и час напряженного противостояния. Полицейские все время держали руки на кобурах, но так и не выхватили оружие.
Что еще хуже, полиция сообщила Федеpу, что на той неделе в Миннесоте отслеживали еще четыре автомобиля с номерными знаками производителя такого же формата, и он просто был первым, кого смогли остановить.
Уезжая, полицейские бросили фразу: «Вам повезло, что это произошло в Плимуте. В Миннеаполисе они бы точно выхватили оружие и бросились к вам».
«Люди ошибаются, это нормально, — сказал позже Федеp. — Но ошибка была усилена общенациональной системой наблюдения».
Он также написал, что камеры на светофорах отслеживают наши машины, наши устройства, наших домашних животных и даже нас самих, и это только начало. Следующим шагом их могут установить на школьные автобусы детей.
Угоняли вы машину или нет, не имеет значения. Как только эти системы замечают вас, события развиваются только в одном направлении.
Слова Федеpа стали почти что эпиграфом ко всей эпохе безопасности с ИИ.
Он может находить ошибки быстрее человека, но и натворить бед тоже быстрее
Если посмотреть на эти две истории вместе, контраст настолько силен, что заставляет задуматься.
С одной стороны, ИИ обнаружил уязвимость, которую люди не замечали 15 лет, сделав мир безопаснее. С другой стороны, ИИ усилил ошибку ввода, поставив невинного человека перед лицом четырех полицейских машин.
Но логика, стоящая за ними, одинакова. Разница лишь в том, что было на входе.
В истории с GhostLock ИИ анализировал реальный код ядра и нашел реальную проблему. А в истории с Flock ИИ получил на вход изначально неверные данные и добросовестно исполнил их, но сделал это быстрее и шире, чем любой полицейский-человек.
Поэтому ответственность за инцидент с Flock нельзя просто списать на «ошибку ИИ».
Неверные данные ввел человек, необходимую ручную проверку пропустил человек. ИИ лишь с машинной скоростью и масштабом умножил халатность на обоих концах этой цепочки.
Он подобен знаку умножения. Сам по себе знак умножения не ошибается. Но если число перед ним отрицательное, результат будет во столько же раз хуже.
Что действительно тревожит, так это то, что ситуация, подобная произошедшей с Федеpом, тихо разворачивается во все большем числе областей.
Крупнейшая уязвимость эпохи ИИ, возможно, не в коде
Сегодня ИИ проникает в цепочки принятия решений в таких областях высокого риска, как безопасность, правоприменение, финансы.
Он действительно может находить уязвимости, пропущенные людьми — это реальное умение. Но он также может масштабировать человеческие ошибки — это реальный риск.
Эти две вещи — две стороны одной медали.

Камера распознавания номерных знаков Flock установлена на столбе над светофором на перекрестке. Черный квадрат сзади — ее солнечная панель. Подобные устройства уже развернуты в тысячах сообществ по всей территории США. (Источник: Frank W. Lewis/Signal Cleveland)
История с GhostLock говорит нам, что ИИ уже обладает потенциалом, превосходящим построчный человеческий анализ. В будущем охота за уязвимостями, возможно, уже не будет зависеть от людей, читающих код строка за строкой.
А Flock, напротив, напоминает нам, что в критических системах этап ручной проверки нельзя пропускать ни в одном звене.
Реальный вопрос не в том, будет ли ИИ ошибаться — конечно, будет — а в том, найдется ли человек, который сможет вовремя его остановить, когда он ошибется.
Крупнейшая уязвимость эпохи ИИ, возможно, уже не в коде, а в том моменте, когда мы отдаем право окончательного суждения.
Источники:
https://nebusec.ai/research/ionstack-part-2/
https://www.thedrive.com/news/how-flock-cameras-wrongly-tracked-me-for-days-over-stolen-plates-and-sent-police-after-me
https://www.untempled.com/guilhermen/art/ai-found-a-secret-computer-bug-hidden-for-15-years-plus-why-cops-chased-a-reporter-over-a-typo-cmrgwcw7o0001ky04qu4ubln8
Статья из WeChat Official Account «新智元» (Новый век искусственного интеллекта), автор: ASI启示录








