
Компанія Capital One представила VulnHunter – інструмент на основі штучного інтелекту з відкритим кодом, призначений для пошуку вразливостей у програмному коді. Ця система не просто сканує код, а й моделює дії зловмисника, визначаючи шляхи експлуатації вразливостей та пропонуючи ефективні методи їх усунення ще до того, як програмний продукт потрапить у продакшн. Розроблений всередині компанії та оприлюднений на GitHub під ліцензією Apache 2.0, VulnHunter є одним із найамбітніших прикладів використання передових можливостей ШІ у сфері кібербезпеки, де фінансова установа перетворює наступальні технології на загальнодоступний оборонний ресурс.
Цей крок свідчить про кардинальну зміну філософії компанії, яка досі асоціюється з масштабним витоком даних у 2019 році. Тоді було скомпрометовано особисті дані приблизно 106 мільйонів клієнтів у США та Канаді, що призвело до штрафу в розмірі 80 мільйонів доларів.
VulnHunter виходить за межі стандартних сканерів вразливостей. Він впроваджує те, що компанія називає “проактивним аналізом з точки зору нападника” (attacker-first forward analysis). Цей підхід полягає в тому, що інструмент починає свою роботу з точок входу системи, які міг би використати реальний зловмисник – такі як API, мережеві повідомлення або завантаження файлів. Далі він аналізує логіку програми, щоб визначити, чи можуть існуючі засоби захисту протистояти спробі експлуатації. Традиційні сканери, навпаки, часто працюють у зворотному напрямку: виявляють потенційно небезпечний фрагмент коду і намагаються відстежити, як до нього міг би дістатися гіпотетичний нападник. Цей метод, як визнають фахівці з безпеки, перевантажує інженерні команди величезною кількістю хибних спрацьовувань.
VulnHunter вирішує цю проблему завдяки другому інноваційному елементу: вбудованому “механізму фальсифікації” (falsification engine). Перед тим, як представити потенційну вразливість розробнику, він намагається спростувати власні висновки. Після виявлення ймовірної вразливості, структурований процес міркувань шукає логічні прогалини, необґрунтовані припущення або умови, які могли б перешкодити успішній атаці. Лише ті знахідки, які механізм не зміг спростувати, передаються людині-рецензенту. Водночас VulnHunter надає не лише попередження, а й повний опис шляху експлуатації та запропоновану виправлення коду, готове до розгляду інженерами.
Наразі інструмент працює на моделі Anthropic Claude Opus 4.8 у середовищі Claude Code. Однак Capital One заявляє, що його архітектура дозволяє інтегрувати інші базові моделі та програмні середовища.
Витік даних 2019 року, що змінив підхід Capital One до кібербезпеки
Щоб зрозуміти, чому Capital One вирішила зробити такий важливий інструмент відкритим, варто згадати про минулі уроки.
19 липня 2019 року Capital One повідомила про несанкціонований доступ до даних клієнтів, здійснений колишньою співробітницею Amazon Web Services. Були скомпрометовані імена, адреси, дані про доходи, номери соціального страхування та номери банківських рахунків кредитних карток. Витік, який стався 22-23 березня 2019 року, було виявлено лише після того, як зовнішній дослідник безпеки повідомив про вразливість конфігурації через програму відповідального розкриття інформації компанії 17 липня того ж року.
Наслідки були масштабними. Постраждали приблизно 100 мільйонів осіб у США та 6 мільйонів у Канаді. Було скомпрометовано близько 140 000 номерів соціального страхування, приблизно 80 000 номерів банківських рахунків та близько 1 мільйона канадських номерів соціального страхування. ФБР заарештувало зловмисницю, і влада заявила, що дані були відновлені без ознак шахрайства. Проте репутаційні та регуляторні збитки були величезними.
У серпні 2020 року Управління контролера грошового обігу (OCC) оштрафувало Capital One на 80 мільйонів доларів, встановивши, що банк не вжив належних заходів для ідентифікації та управління ризиками під час міграції значних технологічних операцій у хмару. Як повідомляло Reuters, договір OCC посилався на недостатні засоби мережевої безпеки, неадекватні заходи запобігання втраті даних та відсутність належного контролю з боку ради директорів. OCC також зобов’язав Capital One переглянути свої операції та подати нові плани кібербезпеки на розгляд регулятора.
Інцидент став прикладом для галузі, що ілюструє небезпеку швидкого впровадження нових технологій. Як повідомляло CyberScoop, керівник відділу кібербезпеки конкуруючої фінансової компанії зазначив, що витік “може бути результатом спроб надто багатьох нових речей та їх форсованого впровадження”. Генеральний директор Capital One Річард Д. Фейрбенк визнав серйозність ситуації: “Хоча я вдячний, що винуватця спіймали, я глибоко шкодую про те, що сталося. Я щиро перепрошую за зрозуміле занепокоєння, яке цей інцидент може спричинити постраждалим, і я зобов’язуюсь виправити ситуацію”.
Як Capital One відновила свою репутацію в галузі безпеки завдяки інвестиціям у відкритий код
Наступним кроком став не відхід від технологій, а їх посилення, з особливим акцентом на безпеку.
Capital One оголосила себе компанією, що “перш за все використовує відкритий код” (open-source first) у 2015 році, як частину ширшої технологічної трансформації, що розпочалася понад десятиліття тому. Після витоку даних компанія прискорила свої інвестиції в безпеку програмних ланцюгів постачання, управління відкритим кодом та оборону на основі ШІ. У серпні 2022 року Capital One приєдналася до Open Source Security Foundation (OpenSSF) як преміум-член, отримавши місце в керівному комітеті організації. Кріс Німс, тодішній старший віце-президент з хмарних технологій та інженерії продуктивності, назвав цей крок логічним продовженням операційної філософії компанії: “Як компанія, що підлягає суворому регулюванню, ми маємо досвід у сфері дотримання нормативних вимог та управління, і виступаємо за стандартизацію, автоматизацію та співпрацю”.
За цим публічним зобов’язанням стояв значний операційний апарат. Офіс програм відкритого коду Capital One, нині у своїй третій ітерації, керує використанням відкритого коду, внесками та створенням спільнот у масштабах підприємства. За даними компанії, вона випустила понад 25 проєктів з відкритим кодом і зробила понад 2000 внесків приблизно до 135 зовнішніх проєктів. Ці зусилля охоплюють не лише залежності від коду, а й весь життєвий цикл розробки програмного забезпечення – інструменти DevSecOps, інфраструктуру та спільні середовища, як внутрішні, так і зовнішні, що формують спосіб створення та розповсюдження програмного забезпечення.
Нурін Д’Соуза, директор, яка очолює OSPO Capital One, публічно говорила про філософію, що лежить в основі цієї роботи. На конференції cdCon 2022 вона описала “загальнокорпоративну культуру з інтегрованою безпекою”, яка дозволяє розробникам зосереджуватися на інноваціях, а не на рутинних завданнях. Статут OSPO наголошує на трьох стовпах: стандартизація процесів відкритого коду, автоматизація політик безпеки протягом усього конвеєра доставки та сталість екосистеми через внески до основ та проєктів, від яких залежить компанія.
VulnHunter є найважливішим результатом цих багаторічних зусиль і найчіткішим сигналом про те, що Capital One розглядає співпрацю з відкритим кодом не як благодійність, а як конкурентну стратегію безпеки. Компанія стверджує, що сучасні ланцюги постачання програмного забезпечення настільки тісно взаємопов’язані, що одна вразливість у широко використовуваному компоненті з відкритим кодом може каскадно вплинути на тисячі підприємств одночасно. Власні оборонні механізми, якими б складними вони не були, не можуть вирішити проблему, яка є фундаментально колективною. Випускаючи VulnHunter під дозволеною ліцензією, Capital One запрошує світову спільноту дослідників безпеки тестувати, розширювати та вдосконалювати цей інструмент, фактично здійснюючи краудсорсинг власної оборонної інфраструктури та одночасно зміцнюючи ширшу екосистему.
Триетапний ШІ-двигун VulnHunter для виявлення експлуатованого коду
Для керівників інженерних відділів, які оцінюють VulnHunter, технічна архітектура є ключовим елементом амбіцій цього інструменту. Робочий процес складається з трьох окремих етапів.
На першому етапі – проактивному аналізі з точки зору нападника – VulnHunter починає свою роботу з точок взаємодії зовнішнього зловмисника з системою: кінцеві точки API, обробники мережевих повідомлень, інтерфейси завантаження файлів. З кожної точки входу інструмент аналізує логіку програми, відстежуючи потоки даних, трансформації та внутрішні контрольні точки безпеки, щоб визначити, чи може нападник дійсно досягти небезпечного шляху в коді. Цей підхід імітує спосіб, яким кваліфікований тестувальник на проникнення досліджує систему, але автоматизує процес у масштабі, недосяжному для жодної людської команди.
Другий етап – це те, де VulnHunter найбільш суттєво відрізняється від традиційних сканерів. Після виявлення потенційної вразливості, механізм фальсифікації запускає структурований робочий процес, призначений для спростування власного висновку. Він шукає припущення, які не відповідають дійсності, логічні прогалини у шляху експлуатації та умови середовища, які могли б перешкодити успішній атаці. Знахідки, які не проходять цей внутрішній тест, відкидаються до того, як їх побачить будь-який розробник. Чітка мета Capital One – зменшити для розробників тягар сортування хибних попереджень, що є постійною проблемою, яка підриває довіру до інструментів безпеки та уповільнює швидкість розробки.
На третьому етапі вразливості, що пройшли перевірку механізмом фальсифікації, ініціюють процес виправлення, підкріплений доказами. VulnHunter збирає підтверджуючі дані по всьому коду, відображає повний шлях експлуатації, пояснює дефект та конкретні можливості, які отримав би нападник, і генерує цільові зміни коду для розгляду інженерами. Результатом є не загальна рекомендація, а конкретна, контекстно-залежна пропозиція виправлення.
Capital One стверджує, що VulnHunter пройшов внутрішнє тестування перед випуском, охопивши тисячі репозиторіїв у різних бізнес-напрямках. Компанія повідомляє, що інструмент виявив та усунув вразливості зі швидкістю та ефективністю, що значно перевищують результати, досягнуті її командами раніше через ручне сортування.
Чому атаки на основі ШІ змушують банки переглядати традиційні методи кіберзахисту
VulnHunter з’являється в момент, коли ландшафт кібербезпеки стрімко змінюється. Capital One чітко формулює нагальність: передові моделі ШІ “суттєво знизили бар’єр для зловмисників у виявленні та експлуатації вразливостей у програмному забезпеченні”, а вікно, перш ніж складні можливості ШІ-атак стануть доступними практично для будь-якого супротивника, стрімко скорочується.
Власні дослідники компанії з питань безпеки ШІ уважно відстежують ці тенденції. На конференції NeurIPS 2024 у Ванкувері команда Capital One представила дослідження та зібрала список із майже 100 статей, що охоплюють безпеку великих мовних моделей (LLM), стійкість до атак, атаки “джейлбрейку” та генерацію синтетичних даних. Висвітлені статті, зокрема роботи про багаторівневі системи захисту, автоматизоване червоне тестування (red-teaming) та класифікатори захисних бар’єрів, малюють картину гонки озброєнь, де наступальні та оборонні можливості ШІ співрозвиваються з шаленою швидкістю.
Кілька з цих дослідницьких тем безпосередньо відображають архітектуру VulnHunter. Механізм фальсифікації перегукується зі стратегіями захисту від атак, дослідженими в таких статтях, як “BackdoorAlign”, яка продемонструвала, що вбудовування структурованого механізму безпеки в невелику кількість навчальних прикладів може відновити безпечну відповідність моделі без зниження продуктивності. Проактивний аналіз з точки зору нападника відображає філософію “WildTeaming” – фреймворку, який збирає та аналізує реальні спроби “джейлбрейку” для створення більш стійких моделей. А акцент VulnHunter на мінімізації хибних спрацьовувань паралельний цілям “GuardFormer” – класифікатора захисних бар’єрів, який перевершив GPT-4 за показниками безпеки, працюючи в 14 разів швидше.
Головна ідея, що об’єднує всю цю роботу, – переконання, що традиційна, реактивна безпека (моніторинг мереж, виправлення відомих вразливостей, реагування на інциденти після їх виникнення) більше не є достатньою, коли супротивники можуть використовувати ШІ для виявлення та експлуатації нульових вразливостей зі швидкістю машини. Єдиним надійним захистом, стверджує Capital One, є виявлення та виправлення вразливостей у власному коді до того, як їх знайдуть зловмисники.
Що досвід Capital One у хмарній безпеці розкриває про банківську індустрію загалом
Шлях Capital One від жертви витоку даних до контрибутора безпеки з відкритим кодом також висвітлює ширший процес переосмислення в усьому фінансовому секторі. Коли Capital One активно переходила на Amazon Web Services у середині 2010-х років, це було рідкістю серед великих банків. Більшість фінансових установ просто не довіряли стороннім постачальникам зберігати свої найчутливіші дані. Тодішній генеральний директор Capital One Роб Александр публічно стверджував, що хмара є більш безпечною, ніж власні центри обробки даних банку – твердження, яке витік 2019 року значно ускладнив.
Звіт CyberScoop того періоду відобразив напруженість у галузі. У. Патрік Опет, керуючий директор з кібербезпеки JP Morgan Chase, описав культурний зсув у банківській справі від пріоритету трейдерів до пріоритету розробників: “Тепер це: ‘Зосередьтеся на розробнику, перетворіть усе на код і автоматизуйте все'”. Марк Ніколсон, керівник відділу кібербезпеки Deloitte у фінансовій галузі, зазначив, що тиск на швидкість виявив “слабкості в методології розробки”. Сам витік даних став нагадуванням про те, що навіть попри витрати Chase у 600 мільйонів доларів щорічно на кібербезпеку, відносно прості вразливості, як-от помилка Apache Struts, що стала причиною витоку Equifax, могли нівелювати величезні інвестиції в захист даних.
Сім років потому галузь переважно пішла за Capital One у хмару, а виклики безпеки лише посилилися. Питання вже не в тому, чи використовувати хмарну інфраструктуру, а в тому, як забезпечити безпеку програмного забезпечення, що працює на ній. VulnHunter представляє відповідь Capital One: замість того, щоб покладатися виключно на мережеві засоби контролю та захист периметра, безпека переноситься безпосередньо в сам код, у момент його написання. Публічний реліз також створює неявний конкурентний тиск. Якщо VulnHunter здобуде популярність серед розробників та команд безпеки, це може встановити новий стандарт очікувань від корпоративних інструментів безпеки та змусити банки-конкуренти, фінтех-компанії та хмарних провайдерів відповідати або перевищувати його можливості.
Те, чи виправдає VulnHunter цю амбіцію, залежатиме від його прийняття, залучення спільноти та реальної ефективності проти все більш складних атак на основі ШІ, проти яких він був розроблений. Але сам випуск розповідає історію, яка виходить далеко за межі одного інструменту чи однієї компанії. У 2019 році неправильно налаштований брандмауер призвів до витоку 100 мільйонів записів і перетворив Capital One на застережний приклад щодо вартості швидкого, але необережного руху. У 2026 році ця ж установа робить відкритим аналог ШІ-захисту, який вона хотіла б мати раніше, і робить ставку на те, що найкращий спосіб захистити власний код – це допомогти всій галузі захистити свій.
Прогноз ІТ-Блогу: VulnHunter може стати стандартом де-факто для попередньої безпеки коду, спонукаючи інші великі технологічні компанії випускати власні аналогічні інструменти. Ймовірно, ми побачимо розвиток підтримки для більшої кількості мов програмування та інтеграцію з різними CI/CD пайплайнами, що пришвидшить його впровадження.
Дізнатися більше на: venturebeat.com
