Штучний інтелект Big Sleep від Google допоміг компанії Apple знайти критичні вразливості в WebKit — рушії браузера Safari. Експлуатація цих вад могла призвести до аварійного завершення роботи браузера або пошкодження пам’яті.
Компанія Apple визнала внесок штучного інтелекту Google Big Sleep у виявлення п’яти вразливостей у компоненті WebKit, який забезпечує роботу браузера Safari. Усі виявлені проблеми безпеки вже усунуто в останніх оновленнях.
Виявлені вразливості
CVE-2025-43429 — переповнення буфера, що може спричинити несподіване завершення процесу під час обробки шкідливого вебвмісту. Проблему усунуто покращеною перевіркою меж.
CVE-2025-43430 — неуточнена вразливість, яка призводить до аварійного завершення процесу. Виправлено через покращене керування станом.
CVE-2025-43431 та CVE-2025-43433 — дві вразливості, що можуть спричинити пошкодження пам’яті при обробці шкідливого контенту. Усунуто через оптимізацію роботи з пам’яттю.
CVE-2025-43434 — вразливість типу use-after-free, яка може призвести до краху Safari. Виправлено покращеним керуванням станом.
Хоча конкретні технічні деталі уразливостей не розголошуються з міркувань безпеки, відомо, що вони стосувалися обробки JavaScript та могли потенційно дозволити віддалене виконання коду. Такі типи уразливостей особливо небезпечні, оскільки можуть бути експлуатовані через шкідливі веб-сторінки без будь-якої взаємодії з боку користувача.
Які пристрої потребують оновлення
Apple випустила виправлення у понеділок у складі оновлень iOS 26.1, iPadOS 26.1, macOS Tahoe 26.1, tvOS 26.1, watchOS 26.1, visionOS 26.1 та Safari 26.1. Ось детальний перелік доступних версій і сумісних пристроїв:
iOS 26.1 та iPadOS 26.1:
- iPhone 11 і новіші моделі
- iPad Pro 12,9″ (3-го покоління і новіші)
- iPad Pro 11″ (1-го покоління і новіші)
- iPad Air (3-го покоління і новіші)
- iPad (8-го покоління і новіші)
- iPad mini (5-го покоління і новіші)
iOS 18.7.2 та iPadOS 18.7.2 (для старіших пристроїв):
- iPhone XS і новіші моделі
- iPad Pro 13″
- iPad Pro 12,9″ (3-го покоління і новіші)
- iPad Pro 11″ (1-го покоління і новіші)
- iPad Air (3-го покоління і новіші)
- iPad (7-го покоління і новіші)
- iPad mini (5-го покоління і новіші)
macOS Tahoe 26.1: Усі комп’ютери Mac із встановленою macOS Tahoe
tvOS 26.1: Apple TV 4K (2-го покоління і новіші)
visionOS 26.1: Apple Vision Pro (усі моделі)
watchOS 26.1: Apple Watch Series 6 і новіші моделі
Safari 26.1: Комп’ютери Mac із macOS Sonoma або macOS Sequoia
Експерти з кібербезпеки радять встановити оновлення якнайшвидше, навіть попри відсутність відомостей про експлуатацію цих вразливостей у реальних атаках.
Що таке Big Sleep
Big Sleep (раніше — Project Naptime) представляє собою передовий кібербезпековий агент, розроблений командою Google DeepMind у співпраці з Google Project Zero. Цей ШІ-інструмент використовує великі мовні моделі для автоматизованого пошуку уразливостей у програмному забезпеченні, що значно прискорює процес виявлення потенційних загроз безпеки.
Особливістю Big Sleep є його здатність аналізувати вихідний код та виявляти складні уразливості, які можуть залишитися непоміченими під час традиційних методів тестування. Система може працювати цілодобово, сканувати великі обсяги коду та ідентифікувати потенційні проблеми безпеки з високою точністю.
Раніше цього року Big Sleep виявив критичну вразливість у SQLite (CVE-2025-6965, оцінка CVSS: 7,2), яку, за словами Google, могли експлуатувати зловмисники.
Жодну з перелічених вразливостей не використовували в реальних атаках, проте експерти радять якнайшвидше встановити оновлення для надійного захисту пристроїв.
Співпраця між Google та Apple
Виявлення цих уразливостей демонструє ефективність співпраці між технологічними гігантами у сфері кібербезпеки. Незважаючи на конкуренцію між Google Chrome та Apple Safari, обидві компанії активно співпрацюють для покращення загальної безпеки веб-екосистеми.
Google Project Zero, відома своїм принципом відповідального розкриття уразливостей, надала Apple достатньо часу для розробки та випуску виправлень перед публічним оголошенням про виявлені проблеми. Цей підхід забезпечує захист користувачів та дає розробникам можливість усунути уразливості до їх потенційної експлуатації.
Вплив ШІ на майбутнє кібербезпеки
Успіх Big Sleep у виявленні уразливостей Safari підкреслює зростаючу роль штучного інтелекту в галузі кібербезпеки. ШІ-системи можуть обробляти набагато більші обсяги коду, ніж людські аналітики, та виявляти складні патерни, які можуть вказувати на потенційні уразливості.
Традиційні методи пошуку уразливостей, такі як ручний аудит коду та автоматизоване тестування, часто вимагають значних ресурсів та часу. ШІ-агенти, як Big Sleep, можуть значно скоротити цей процес та підвищити ефективність виявлення загроз безпеки.
Рекомендації для користувачів Safari
Користувачам Safari настійно рекомендується негайно оновити свої браузери до найновішої версії, щоб забезпечити захист від виявлених уразливостей. Apple зазвичай випускає оновлення безпеки через механізм автоматичного оновлення, але користувачі можуть перевірити наявність оновлень вручну.
Для перевірки версії Safari на macOS потрібно відкрити браузер та перейти до меню Safari > Про Safari. На iOS оновлення Safari включені в загальні оновлення системи, які можна перевірити в Налаштуваннях > Загальні > Оновлення ПЗ.
Перспективи розвитку ШІ-безпеки
Досягнення Big Sleep відкривають нові можливості для використання штучного інтелекту в кібербезпеці. Очікується, що подібні ШІ-системи стануть стандартним інструментом для великих технологічних компаній у процесі розробки та тестування програмного забезпечення.
Експерти прогнозують, що в найближчому майбутньому ШІ-агенти зможуть не лише виявляти уразливості, але й автоматично генерувати виправлення для них. Це може революціонізувати підхід до забезпечення безпеки програмного забезпечення та значно скоротити час між виявленням та усуненням загроз.
Водночас важливо пам’ятати, що зловмисники також можуть використовувати ШІ для пошуку та експлуатації уразливостей. Це створює своєрідну “гонку озброєнь” між захисниками та атакуючими, де перемога залежатиме від того, хто швидше та ефективніше використовуватиме можливості штучного інтелекту.
