ИИ-команда по кибербезопасности обнаружила 12 уязвимостей в OpenSSL — некоторые из них существовали десятилетиями

OpenSSL — один из ключевых компонентов современной интернет-безопасности, лежащий в основе защиты подавляющего большинства HTTPS-соединений. Однако, как выяснилось, даже столь критически важный проект может скрывать серьёзные проблемы годами. Команда по кибербезопасности компании Aisle сообщила об обнаружении 12 уязвимостей (CVE) в кодовой базе OpenSSL, причём некоторые из них, по утверждению исследователей, берут начало ещё в 1998 году.

Все уязвимости были выявлены исключительно с помощью ИИ-инструментов анализа кода, после чего для каждой из них были подготовлены исправления. В Aisle заявляют, что именно человек сегодня является «узким местом» в поиске подобных багов — слишком сложных, скрытых и глубоко укоренённых.

Уязвимости разной степени критичности

Обнаруженные CVE охватывают высокий, средний и низкий уровни опасности. Наиболее серьёзные из них потенциально позволяют злоумышленникам выполнять произвольный код или вызывать переполнение памяти.

Уязвимости высокой и средней степени опасности

• CVE-2025-15467 (High) — переполнение буфера стека при разборе CMS AuthEnvelopedData. При определённых условиях может привести к удалённому выполнению кода.

• CVE-2025-11187 (Moderate) — ошибка валидации параметров PBMAC1 в PKCS#12, способная вызвать stack-based buffer overflow.

Уязвимости низкой степени опасности

• CVE-2025-15468 — аварийное завершение при обработке шифров QUIC

• CVE-2025-15469 — «тихая» усечённая обработка постквантовых подписей (ML-DSA)

• CVE-2025-66199 — истощение памяти через сжатие сертификатов TLS 1.3

• CVE-2025-68160 — повреждение памяти в line-buffering (затрагивает код вплоть до OpenSSL 1.0.2)

• CVE-2025-69418 — ошибка шифрования в режиме OCB при аппаратном ускорении

• CVE-2025-69419 — повреждение памяти при обработке кодировок PKCS#12

• CVE-2025-69420 — сбой при проверке TimeStamp Response

• CVE-2025-69421 — сбой при расшифровке PKCS#12

• CVE-2026-22795 — сбой при парсинге PKCS#12

• CVE-2026-22796 — сбой при проверке подписей PKCS#7 (также затрагивает OpenSSL 1.0.2)

Большинство этих проблем приводит «лишь» к сбоям, повреждению памяти или утечке ресурсов, однако в контексте инфраструктурного ПО масштаба OpenSSL даже такие баги считаются крайне нежелательными.

Уязвимости, пережившие десятилетия

По словам Aisle, часть найденных проблем присутствовала в коде более 25 лет, оставаясь незамеченной несмотря на огромное количество аудиторов, исследователей и автоматических анализаторов, прошедших через проект за это время.

Это подчёркивает фундаментальную проблему ручного и полуавтоматического анализа безопасности:
человеческие ревью плохо масштабируются, особенно в проектах с:

• миллионами строк кода;

• историческим багажом;

• сложными криптографическими допущениями.

Как помог искусственный интеллект

ИИ-платформа Aisle использует контекстно-осознанный анализ, способный:

• понимать назначение и логику кода, а не просто сигнатуры;

• выявлять нетипичные пути исполнения;

• присваивать угрозам приоритеты, снижая количество ложных срабатываний.

По утверждению компании, именно такая комбинация позволила обнаружить баги, которые «десятилетиями ускользали от людей».

Тренд: ИИ против ИИ

ИИ-поддерживаемая кибербезопасность стремительно становится стандартом отрасли. Это во многом ответ на рост ИИ-ассистированных атак, где злоумышленники сами используют машинное обучение для:

• поиска уязвимостей;

• автоматизации эксплуатации;

• масштабирования атак.

Ранее исследователи уже демонстрировали ИИ-системы, способные предсказывать криминальное поведение с точностью до 82,8%, и подобные подходы всё активнее внедряются в защитные решения.

Вывод

История с OpenSSL наглядно показывает, что:

• даже самый проверенный и массово используемый код может скрывать критические дефекты десятилетиями;

• традиционные методы аудита безопасности достигли предела эффективности;

• ИИ перестаёт быть вспомогательным инструментом и становится необходимым элементом киберзащиты.

В эпоху, когда ИИ используют обе стороны — и защитники, и атакующие — отказ от таких инструментов может оказаться фатальным.