Критическая уязвимость в NGINX: ИИ-агент нашел ошибку 18-летней давности

Исследователи компании depthfirst провели эксперимент: запустили автономный искусственный интеллект на анализ исходного кода веб-сервера NGINX. С задачей ИИ-агент справился за шесть часов, выявив критическую уязвимость, которая оставалась незамеченной с 2008 года.

Проблеме присвоен номер CVE-2026-42945 и рейтинг 9,2 балла по шкале CVSS — это уровень критической опасности. Уязвимость позволяет злоумышленнику удаленно выполнять произвольный код. Для атаки, уточняют эксперты, необходима комбинация директив rewrite и set в конфигурации сервера.

NGINX — один из самых популярных веб-серверов в мире. По разным оценкам, на нем работает почти треть всех сайтов, включая проекты крупных компаний. Уязвимыми оказались версии NGINX от 0.6.27 до 1.30.0 — фактически почти весь жизненный цикл продукта за последние 18 лет.

Обнаружение такой давней ошибки демонстрирует потенциал ИИ в задачах поиска уязвимостей. Традиционные методы аудита кода могут пропускать ошибки, заложенные много лет назад, тогда как ИИ способен анализировать большие объемы кода значительно быстрее.

Разработчикам NGINX рекомендуется срочно выпустить патч для устранения CVE-2026-42945. Администраторам серверов необходимо следить за обновлениями и, по возможности, временно ограничить использование уязвимых директив. Эксплуатировать уязвимость может только атакующий, имеющий доступ к редактированию конфигурации NGINX, что несколько снижает риски для типовых установок.

Компания depthfirst не раскрывает детали работы своего ИИ-агента, но намерена продолжить тестирование другого популярного ПО. Этот случай может стать прецедентом для внедрения ИИ-инструментов в процессы кибербезопасности.