zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу
13/07/2026
Аудиторская компания zkSecurity с помощью своего ИИ-инструментария изучила CIRCL — экспериментальную криптографическую библиотеку Cloudflare. Исследователи выявили семь багов и получили за это вознаграждение в рамках багбаунти-программы вендора.
В CIRCL есть схема шифрования, где доступ к сообщению определяется правами: расшифровать его должен только тот, чей ключ соответствует политике вроде «финансовый отдел И офис в США». Из-за ошибки в одной строке кода этот «замок с двумя ключами» собирался неправильно — «первого ключа» хватало, чтобы открыть его в одиночку. А так как служебная метка, играющая роль этого самого первого ключа, была в каждом выданном, любой пользователь мог расшифровать любое сообщение — политика доступа просто не работала. Cloudflare присвоила этой находке критический уровень.
Описанный баг обнаружил zkao, собственный ИИ-агент zkSecurity, предназначенный для аудита кода. Ещё пять нашёл Claude Opus 4.6, а последний — GPT-5.3. При этом живые специалисты проверяли каждый экземпляр на эксплуатируемость — по словам безопасников, нейросети пока плохо оценивают серьёзность собственных находок в обе стороны (большинство багов было переоценено, а атака на агрегированные подписи BLS — наоборот, занижена в значимости).
Помимо этого, выяснилось, что связки моделей нестабильны: в первой сессии баги находила в основном Opus 4.6, а GPT-5.3 только проверяла их; с более поздними версиями LLM они поменялись ролями. Вывод авторов работы: не привязывайтесь к имени модели, лидер меняется от релиза к релизу.