Скоростное исследование стоимостью $600 выявило больше 100 «дыр» в ядре Windows

Два исследователя в области кибербезопасности построили автоматизированную платформу на основе роя агентов с искусственным интеллектом за $600. За месяц работы из 1873 собранных бинарников они детально проанализировали 202 высокорисковых драйвера и обнаружили 521 потенциальную ИТ-уязвимость в Windows.

Поиск ИТ-уязвимостей

Больше сотни ошибок в ядре Windows нашли с помощью технологий с искусственным интеллектом (ИИ), пишет The Register. Исследователи уверены, что ИИ в 2026 г. снижает порог входа в поиск ИТ-уязвимостей в бинарном коде.

Исследователи в области кибербезопасности Ярон Динкин (Yaron Dinkin) и Эяль Крафт (Eyal Kraft) построили автоматизированную онлайн-платформу на основе роя ИИ-агентов, ИИ-модель реверс-инжинирит драйверы ядра операционной системы (ОС) Windows и ищет в них ИТ-уязвимости нулевого дня т.е. это слабое место в ИТ-системе, которое может позволить хакеру получить несанкционированный доступ, нарушить работу, украсть или изменить данные.

Нейронные сети помогли выявить из 1873 собранных бинарников они детально проанализировали 202 высокорисковых драйвера и обнаружили 521 потенциальную ИТ-уязвимость, сообщили исследователи в области кибербезопасности в феврале 2026 г. После ручной проверки эксперты выяснили, что более 100 из них представляют собой реально эксплуатируемые сценарии повышения привилегий на актуальных ИТ-системах Windows 11 x64. Весь проект обошелся в $600, а анализ ИТ-системы примерно месяц.

Microsoft Нейросети стали быстро и дешево находить ИТ-уязвимости в ядре Windows, но разработчики их не спешат устранять

Последовательность работ состояла из нескольких этапов: сбор драйверов из каталога обновлений Microsoft, с сайтов производителей и публичных репозиториев, препроцессинг с ранжированием по поверхности кибератаки, анализ роем ИИ-агентов (декомпиляция, поиск ИТ-уязвимых функций, аудит кода), виртуализация в quick emulator (QEMU) для загрузки драйверов без физического ИТ-оборудования и валидация через направленный фаззинг до синего экрана смерти. Для основной части анализа использовались компактные языковые модели через OpenRouter — это и позволило удержать стоимость на уровне нескольких долларов за цель т.е. примерно $3 за драйвер и $4 за найденный баг.

По результатам ручной верификации и анализа, проведенного исследователями, более 100 выявленных ИТ-уязвимостей квалифицированы как реально эксплуатируемые сценарии повышения привилегий local privilege escalation (LPE) на актуальных версиях Windows 11 (x64). ИТ-уязвимости затрагивают драйверы, поставляемые следующими производителями: AMD, Intel, Nvidia, Dell, Lenovo, IBM, Fujitsu и ряда других вендоров ИТ-оборудования и системных компонентов.

Найденные дыры

Одним из наиболее значимых примеров является ИТ-уязвимость в драйвере AMD Crash Defender (файл amdfendr.sys). Данный драйвер предоставляет общедоступный интерфейс устройства (DeviceIoControl), через который возможно осуществить повреждение (corruption) структур ядра ОС, что приводит к успешному повышению привилегий до уровня SYSTEM. Важно отметить, что драйвер amdfendr.sys присутствует и активно используется в том числе на облачных виртуальных машинах AWS EC2 (в частности, на инстансах с процессорами AMD EPYC), что создает потенциальный вектор кибератаки для облачных сред с высоким уровнем изоляции.

Указанные ИТ-уязвимости подчеркивают сохраняющуюся проблему широкого распространения неподдерживаемых или недостаточно защищенных драйверов от производителей ИТ-оборудования в современных ОС, особенно в контексте: облачной инфраструктуры; корпоративных рабочих станций; игровых и высокопроизводительных персональных компьютеров.

Рекомендации к действию

Исследователи рекомендуют организациям и облачным провайдерам в приоритетном порядке провести аудит установленных драйверов, блокировать или удалить уязвимые ИТ-компоненты (где это технически возможно), а также ускорить применение обновлений от производителей, если таковые уже выпущены.

Ярон Динкин и Эяль Крафт отправили 15 подтвержденных ИТ-уязвимостей со средним рейтингом CVSS 8.2 восьми вендорам. Реакция оказалась удручающей: за более чем 90 дней только Fujitsu выпустила патч. Остальные производители либо проигнорировали отчеты, либо отклонили их, несмотря на видеодоказательства. Ни один из вендоров не сообщил Microsoft о необходимости добавить ИТ-уязвимые драйверы в блок-лист.

Автоматизация поиска

Главный вывод разработчиков автоматизированная онлайн-платформа на основе роя ИИ-агентов, ИИ-агенты радикально снижают порог входа в поиск ИТ-уязвимостей в бинарном коде. Ведь если два исследователя за $600 нашли сотню багов в драйверах крупнейших производителей, то у мотивированного злоумышленника тот же ИТ-инструментарий.

Процессы же реагирования вендоров к такому объему и частоте просто не готовы в 2026 г., исследователи по информационной безопасности (ИБ) прогнозируют, что со временем ситуация для хакеров будет лишь улучшаться.