Пока индустрия обсуждала технические детали критической уязвимости в React (CVE-2025-55182), о которой мы писали ранее, на свет всплыла деталь, меняющая правила игры. Согласно последним отчетам, критические уязвимости нулевого дня в экосистемах Node.js и React были обнаружены не людьми-исследователями, а автономными ИИ-агентами.
Традиционно поиск уязвимостей такого уровня (Logic flaws) считался прерогативой высококвалифицированных экспертов. Статические анализаторы кода (SAST) обычно пропускают сложные логические ошибки, заваливая разработчиков ложными срабатываниями.
Однако новые данные показывают, что специализированные ИИ-агенты смогли проанализировать огромные кодовые базы React и Node.js, построить графы потоков данных и выявить сценарии, при которых безобидная на первый взгляд десериализация приводит к удаленному выполнению кода (RCE).
Вспомним уязвимость CVE-2025-55182, которая сейчас «кошмарит» российский E-com. Эксперты годами смотрели этот код. Ошибка пряталась в неочевидном взаимодействии компонентов.
ИИ не устает и «держит в голове» миллионы связей одновременно. Для него цепочка вызовов, приводящая к взлому, была просто математической аномалией, которую нужно подсветить.
Это событие ставит под вопрос будущее программ Bug Bounty в их нынешнем виде. Если ИИ может найти 0-day за 24 часа сканирования, то у исследователей безопасности просто не остается времени на ручной поиск.
Та же технология доступна и киберпреступникам. Это означает, что окно между выходом обновления и началом массовых атак (время до начала эксплуатации) сужается с дней до минут.
Тот факт, что React и Node.js - фундамент современного веба, проверяются машинами, это хорошая новость для защиты. Но это также сигнал для всех DevOps: если вы не используете AI-сканеры в своем CI/CD, вы уже отстали. Злоумышленники их уже используют.
