Небольшие команды, поддерживающие программное обеспечение с открытым исходным кодом, столкнулись с новой проблемой. Искусственный интеллект научился массово находить ошибки и уязвимости, а вот обрабатывать такой поток сообщений людям становится всё сложнее.

По данным Bloomberg, количество автоматизированных отчётов о багах и проблемах безопасности растёт настолько быстро, что сопровождающие популярных проектов уже не успевают реагировать на обращения. Это создаёт серьёзную нагрузку на разработчиков и потенциальные риски для всей цифровой инфраструктуры.

cURL под давлением: один человек против сотен сообщений

Один из самых показательных примеров — проект cURL, используемый миллионами приложений и сервисов по всему миру для передачи данных по сети.

Главный сопровождающий проекта Дэниел Стенберг сообщил, что за 2025 год команда получила 181 уведомление о найденных ошибках. Для сравнения: это почти столько же, сколько за два предыдущих года вместе взятых.

К апрелю 2026 года число новых сообщений уже достигло 87. Если тенденция сохранится, итоговый показатель может превысить 300 обращений за год.

При этом Стенберг остаётся единственным участником проекта, работающим на постоянной основе. Значительная часть нагрузки ложится именно на него.

Почему проблема резко обострилась

Эксперты связывают всплеск с массовым распространением ИИ-инструментов вроде ChatGPT, Claude и специализированных систем анализа кода.

Теперь поиск потенциальных ошибок занимает минуты вместо дней. Более того, нейросети способны не только находить подозрительные участки кода, но и автоматически составлять подробные отчёты, готовые к отправке разработчикам.

В результате барьер входа для поиска багов снизился почти до нуля.

Новая модель Mythos усилила тревогу

Дополнительное внимание привлекла модель Mythos от Anthropic. По информации источников, система умеет автономно искать и использовать уязвимости нулевого дня в популярных операционных системах и браузерах.

Из-за возможных угроз для экономики и национальной безопасности компания не стала публиковать инструмент в открытом доступе. Вместо этого доступ получили ограниченные организации, включая CrowdStrike и Linux Foundation.

Также было объявлено о выделении 4 миллионов долларов на поддержку команд сопровождения open source-проектов.

В чём главная опасность

Современный интернет во многом держится на открытом программном обеспечении, которое часто поддерживают небольшие коллективы с ограниченным бюджетом.

Эти проекты используются в облачных сервисах, корпоративных системах, мобильных приложениях, серверах и сетевом оборудовании. Если нагрузка на разработчиков продолжит расти быстрее, чем их возможности, это может привести к задержкам исправлений и накоплению критических проблем.

Старый код становится слабым местом

Ситуацию осложняет огромный объём устаревшего кода.

Например, кодовая база cURL уже превышает 592 тысячи строк. Даже небольшое изменение в одном модуле может вызвать сбои в других частях программы.

История уже знает подобные примеры. Уязвимость Heartbleed в библиотеке OpenSSL долгие годы оставалась незамеченной, а затем стала одной из самых громких проблем информационной безопасности.

Поток отчётов превратился в «DDoS для разработчиков»

Некоторые программы поощрения поиска уязвимостей, включая инициативы Google и Internet Bug Bounty, были вынуждены временно ограничить или приостановить приём заявок. Причина — огромное количество автоматически созданных сообщений, среди которых сложно быстро выделять действительно опасные проблемы.

Специалисты сравнивают происходящее с атакой типа отказа в обслуживании, только направленной не на серверы, а на людей.

Инженеры из HAProxy и SUSE также подтвердили, что объёмы входящей информации стали чрезмерными и труднообрабатываемыми.

Есть ли положительная сторона

Несмотря на кризис, ИИ способен приносить и пользу. Ранний доступ к современным системам помогает ведущим разработчикам быстрее находить реальные ошибки и закрывать опасные уязвимости до того, как ими воспользуются злоумышленники.

Однако полностью заменить человека такие инструменты пока не могут. Каждый отчёт необходимо проверить, воспроизвести проблему, оценить риски и подготовить исправление.

Что дальше

Разработчики open source всё чаще говорят о необходимости срочных изменений:

• дополнительного финансирования ключевых проектов;
• автоматической фильтрации ложных отчётов;
• распределения нагрузки между компаниями, использующими open source;
• создания новых стандартов взаимодействия между ИИ и сообществом разработчиков.

Без этого критически важная часть интернета может оказаться перегруженной.

Человеческий фактор остаётся главным

По словам Стенберга, на устранение одной проблемы уходит в среднем около двух часов. Нередко работа продолжается по вечерам и в выходные дни.

Он признаёт, что поддерживать такой темп бесконечно невозможно. Если индустрия не пересмотрит отношение к open source, проблема перегрузки разработчиков будет только усиливаться.