Инженер без опыта в ИБ нашел уязвимости в ClickHouse с помощью ИИ

Бывший ведущий инженер Akamai Цветан Стойчев поделился опытом поиска уязвимостей в коде аналитической базы данных ClickHouse с помощью искусственного интеллекта. При этом он признался, что не является специалистом по информационной безопасности.

В качестве помощников Стойчев использовал связку из трех ИИ-инструментов: GitHub Copilot, Claude Opus и модели Gemini. С их помощью он смог выявить несколько реальных уязвимостей в коде ClickHouse.

Некоторые из найденных проблем оказались серьезными. Исследователь сообщил о них в программу баг-баунти ClickHouse, после чего получил выплаты. Суммы вознаграждений не раскрываются.

ClickHouse — популярная колоночная аналитическая СУБД с открытым исходным кодом. Она используется многими крупными компаниями для обработки больших объемов данных. Обнаружение уязвимостей в таком продукте особенно важно для безопасности инфраструктуры.

История Стойчева демонстрирует растущие возможности ИИ в области кибербезопасности. Даже без глубоких знаний в ИБ можно находить критические ошибки, используя современные языковые модели как инструмент анализа кода.

Ранее подобные эксперименты проводились другими исследователями, но случай Стойчева примечателен тем, что он не является профессиональным специалистом по безопасности, что может стимулировать развитие новых подходов к поиску уязвимостей.