Codex обнаружил «бомбу» в HTTP/2 — серверы падают за секунды

OpenAI Codex, инструмент искусственного интеллекта, изначально разрабатывался для помощи программистам в написании кода, однако неожиданно оказался полезным ещё и для поиска уязвимостей в интернете. Благодаря Codex была обнаружена новая разновидность DoS-атаки (от англ. Denial of Service — «отказ в обслуживании»), получившая название HTTP/2 Bomb. Суть этой атаки — в буквальном смысле "взорвать" вычислительные мощности веб-серверов. Используя протокол HTTP/2, злоумышленники могут отправлять на сервер специально подготовленные, хитроумно составленные запросы. После этого сервер начинает непрерывно обрабатывать эти данные, что приводит к мгновенному росту потребления оперативной памяти. Некоторые тесты показали, что за считанные секунды у серверов "выпаривается" свыше 30 гигабайт ОЗУ, и машина просто падает с перегрузкой, даже не успевая среагировать. До этого момента подобная уязвимость оставалась вне зоны внимания специалистов по инфобезопасности — по крайней мере, в таком масштабе. HTTP/2 сам по себе — не новый протокол пересылки данных для обмена между клиентом и сервером, он широко используется во всех современных браузерах и сайтах. Но способность современных генеративных моделей, вроде OpenAI Codex, находить слабые места в массово эксплуатируемых технологиях, впечатляет и немного пугает. Теперь специалистам по кибербезопасности предстоит срочно разрабатывать патчи и заглушки, чтобы отвадить будущих «бомбистов» от соблазна быстро вырубить целый сервер, а пользователям (особенно администраторам сетей) стоит пересмотреть свои защитные практики и быть готовыми к новым сценариям атак.