Новий фронт безпеки застосунків

Розробників усієї планети атаковано. Модель Mythos показала, що це лише початок

Іноді індустрія отримує новину, після якої вже не можна вдавати, що все йде за старим сценарієм. Навесні-влітку 2026 року таких новин виявилося одразу дві.

Перша — нова хвиля атак на ланцюги постачання програмного забезпечення (ПЗ). Хакери перевели увагу з комп’ютерів користувачів і серверів значно глибше — на комп’ютери та інструменти розробників ПЗ. Це не одна атака й не один скомпрометований пакет, а цілий клубок: Megalodon, Mini Shai-Hulud, Glassworm, компрометації npm, PyPI, GitHub Actions, розширень для VS Code та OpenVSX, а також CI/CD-середовищ і OIDC-токенів.

Друга — проміжні результати ініціативи Anthropic Project Glasswing і моделі Claude Mythos Preview. Вона вже знайшла тисячі серйозних уразливостей у критично важливому ПЗ. Показовою є результативність. За кілька тижнів Mythos і близько 50 партнерів Anthropic виявили близько 23 тисяч знахідок, з яких понад 6 тисяч — уразливості високого та критичного рівня. Для порівняння: за весь 2025 рік у всьому світі було зареєстровано близько 48 тисяч CVE. Тобто один інструмент за тижні дав потік знахідок, співставний із кількома місяцями реєстрації вразливостей по всій планеті.

Обидва сюжети — ознаки нової лінії фронту війни з хакерами та кардинальних змін у безпеці застосунків. Розгляньмо ці новини докладніше, почавши з першої.

Атаки на виробництво ПЗ

Інцидент із SolarWinds у 2020 році став одним із перших великих ударів по ланцюгу постачання. Тоді зловмисники впровадили бекдор SUNBURST у платформу SolarWinds Orion. Після цього були й інші гучні епізоди.

Codecov (2021) став болісним уроком для безперервної інтеграції (CI). Змінений Bash Uploader міг виводити з CI-середовищ змінні оточення, ключі, токени та інші секрети.

Log4Shell (2021) показав, наскільки небезпечною може бути одна вразливість у широко використовуваній бібліотеці. Це не була класична компрометація ланцюга постачання, але удар прийшов через залежність, вбудовану у величезну кількість систем. CISA, ФБР, АНБ та інші відомства випускали спільні рекомендації щодо усунення ризику.

3CX (2023) продемонстрував ще неприємнішу річ — одна атака на ланцюг постачання може стати входом для іншої. Mandiant описала рідкісний каскадний випадок, коли компрометація одного постачальника (Trading Technologies) призвела до компрометації іншого — десктопного застосунку 3CX.

XZ Utils (2024) був майже шпигунським романом. В upstream-тарболи xz/liblzma потрапив бекдор, а проблему помітили через дивне навантаження під час SSH-входів. NVD описує CVE-2024-3094 як зловмисний код, впроваджений у вихідні коди xz починаючи з версії 5.6.0, зі складною обфускацією та втручанням у процес збирання liblzma.

Поточна хвиля відрізняється від усіх цих історій. Раніше атакувальник частіше бив по готовому продукту, оновленню чи конкретному постачальнику. Тепер зловмисник дедалі частіше б’є «по площах» — по самій фабриці ПЗ: по розробниках, IDE, розширеннях, CI/CD, GitHub Actions, npm і PyPI, OIDC, секретах і процесах публікації. Образно кажучи, тепер це ближче до підміни «конвеєра», ніж до підміни «коробки на складі», як раніше.

Хроніка нової хвилі атак

Megalodon: шість годин і 5 561 репозиторій. За даними SafeDep, 18 травня 2026 року автоматизована кампанія за шестигодинне вікно впровадила шкідливі зміни в 5 561 публічний репозиторій GitHub (понад 5 700 комітів). Атакувальник додавав файли workflow, замасковані під звичайну оптимізацію CI. Код застосунку міг узагалі не зачіпатися, натомість пайплайн починав красти хмарні облікові дані, ключі SSH і токени OIDC.

Тут важливий нюанс. Багато команд усе ще перевіряють лише код застосунку. Але якщо шкідлива логіка живе у workflow, у ранері, в action чи в job публікації, звичайний аналіз коду її легко проґавить. У репозиторії начебто «нічого страшного», а секрети вже пішли.

Mini Shai-Hulud: коли довірена збірка випускає недовірений пакет. 11 травня 2026 року, з 19:20 до 19:26 UTC, було опубліковано 84 шкідливі версії в 42 пакетах родини @tanstack/*. Пакети вийшли не через викрадений пароль npm. Їх опублікував легітимний release-pipeline TanStack із довіреною OIDC-ідентичністю після того, як атакувальник перехопив ранер просто посеред workflow.

І ось тут ламається звична картина. Якщо підпис є, якщо джерела (provenance) перевірені, якщо збірка пройшла «правильно», чи можна довіряти пакету? Не завжди. Snyk прямо наголошує: SLSA-provenance підтверджує, яким довіреним процесом зібрано пакет, але не гарантує, що код, який потрапив у цей процес, безпечний. Це, за наявними даними, перший задокументований випадок шкідливих npm-пакетів із валідною атестацією SLSA Build Level 3. Aikido оцінила масштаб усієї хвилі у 373 шкідливі версії у 169 іменах пакетів.

Атака на @antv. Snyk окремо описала епізод з @antv – компрометацію npm-акаунту супроводжуючого та публікацію 637 шкідливих версій у 323 пакетах, із сумарною оцінкою близько 16 млн завантажень на тиждень. Microsoft Threat Intelligence розібрала пейлоад, доставлений через скомпрометований пакет Mistral AI у тій самій хвилі.

Miasma та @redhat-cloud-services. Вже 1 червня 2026 Unit 42 описала новий supply-chain інцидент. Були скомпрометовані як мінімум 32 npm-пакета в namespace @redhat-cloud-services. За даними дослідників, атакуючий використав скомпрометований GitHub-акаунт співробітника Red Hat, обходив code review через orphan commits, запускав GitHub Actions, отримував OIDC-токени та публікував троянізовані пакети з валідним SLSA provenance. І знову висновок той самий: коректна атестація процесу збирання не рятує, якщо сам пайплайн уже став частиною атаки.

Glassworm: розробник як «багата здобич». 26 травня 2026 року CrowdStrike спільно з Google і The Shadowserver Foundation провела скоординоване відключення ботнета Glassworm, одночасно вдаривши по чотирьох каналах керування (C2): серверах на комерційних VPS, блокчейні Solana, мережі BitTorrent DHT і заголовках подій у Google Calendar. 

Glassworm використовував троянізовані розширення для VS Code та OpenVSX, npm- і Python-пакети, postinstall- і setup-скрипти, і був розрахований не лише на VS Code, а й на Cursor, Positron, Windsurf, VSCodium та інші редактори. CrowdStrike формулює висновок прямо: тепер супротивники атакують не лише продукти, а й розробників, які ці продукти створюють.

Чому саме розробників? Тому що це «жирна здобич». Вони мають доступ до вихідного коду, GitHub, npm, PyPI, хмар, Kubernetes, CI/CD і production-секретів. Іноді — до всього одразу. Один заражений ноутбук може стати містком до сотень клієнтів униз ланцюгом. 

Причини хвилі атак на ланцюг постачання

За державним резонансом SolarWinds усе ще стоїть осібно. Там була масштабна кібершпигунська операція. Однак за охопленням екосистеми розроблення поточна хвиля виглядає, обережно кажучи, однією з найширших із 2020 року. У ній одночасно зійшлося кілька чинників:

• розробники масово використовують розширення IDE;
• CI/CD отримав забагато прав;
• секрети живуть надто близько до процесу збирання;
• реєстри пакетів стали каналом доставки коду просто у продакшн;
• ШІ-асистенти різко прискорили генерацію та зміну коду;
• багато команд не встигають перевіряти те, що самі ж тепер генерують.

Ця «вибухонебезпечна суміш» якраз і спалахнула минулої весни.

ШІ вже давно використовується атакувальниками як прискорювач. Однак у травні 2026 року Google Threat Intelligence Group описала перехід від ранніх поодиноких зловживань до промислового застосування генеративних моделей у наступальних робочих процесах: пошук вразливостей, генерація експлойтів, розроблення шкідливого ПЗ за допомогою ШІ, автономні операції шкідників та атаки на самі ШІ-середовища й залежності.

Ще один важливий сигнал дала Anthropic у червні 2026 року. Компанія проаналізувала 832 шкідливих облікових записів і зіставила їх дії з MITRE ATT&CK. Висновок неприємний: ШІ вже використовується не тільки для підготовки атаки, фішингу або написання простого шкідливого коду, а й для дій після початкової компрометації. За даними Anthropic, 560 з 832 вивчених облікових записів використовували ШІ для написання шкідливого ПЗ, а 54 – для бічного руху (lateral movement). Частка акторів середнього та вищого ризику зросла з 33% у першій половині періоду до 56% у другій.

Це змінює оцінку загрози. Раніше кількість технік, набір інструментів та вид інтерфейсу могли побічно говорити про рівень атакуючого. Тепер слабкий оператор із гарною агентною обв’язкою навколо моделі може виконувати дії, які раніше вимагали вищої кваліфікації. Anthropic прямо пише, що MITRE ATT&CK поки що не повністю відображає небезпечні властивості ШІ-атак: послідовну оркестрацію етапів, прийняття рішень у реальному часі та виконання ланцюжка дій з мінімальною участю людини.

CrowdStrike у Global Threat Report 2026 наводить цифри, які змінюють економіку атак: активність супротивників, що використовують ШІ, зросла на 89% рік до року; середній час «прориву» (від первинного доступу до бічного переміщення) скоротився до 29 хвилин, а найшвидший спостережуваний прорив зайняв 27 секунд.

Це не означає, що кожен шкідливий коміт зроблений моделлю ШІ. Головне питання в іншому: ШІ різко знижує вартість нудних, брудних, трудомістких частин атаки — підібрати правдоподібний pull request, переписати шкідливий код під стиль проєкту, згенерувати варіанти обфускації, підготувати фішинг для супровідника, швидко розібрати конфігурацію CI/CD, зібрати ланцюг експлойтів. Раніше для цього потрібно було більше рук. Тепер достатньо менше людей, але з кращими інструментами.

Хто на світлій стороні?

По інший бік фронту боротьбу очолив проєкт Glasswing. На початку квітня 2026 року компанія Anthropic дала приблизно півсотні партнерів ранній доступ до своєї моделі ШІ Claude Mythos Preview. Місія висока — зміцнити ПЗ, критично важливе для планети, перш ніж подібні можливості опиняться в руках атакувальників. Серед партнерів опинилися AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks та інші компанії.

Цифри вражають. Anthropic повідомляє, що модель Mythos Preview знайшла 6202 вразливості високого та критичного рівня в понад тисячі проєктів open-source — із 23019 знахідок сумарно. З перевіреної незалежними дослідниками вибірки в 1752 знахідки 90,6% виявилися справжніми вразливостями. Окремі партнери відзвітували про власні результати. Cloudflare знайшла близько 2000 помилок, з них приблизно 400 — високого чи критичного рівня.

Але найважливіше у звіті — не кількість знайденого, а те, де тепер вузьке місце. Anthropic чесно визнає: розкриття — лише частина знайденого, тому що обмежувальним кроком стали людське сортування, перевірка та виправлення. За даними компанії, до 22 травня 2026 року через скоординоване розкриття пройшло близько сотні вразливостей у сотнях проєктів, але виправлено поки лише малу частку (менш ніж 1%). Деякі супровідники навіть просили Anthropic знизити темп розкриттів, оскільки на патч вразливості високого та критичного рівня в середньому йде близько двох тижнів.

Ось це, мабуть, головна проблема. Вузьке місце зміщується. Не «знайти», а перевірити, пріоритизувати, розкрити, виправити та безпечно доставити патч.

Водночас Anthropic також попереджає, що моделі рівня Mythos незабаром з’являться в багатьох ШІ-компаній, а достатньо сильних засобів захисту від зловживань поки немає. Звучить тривожно.

На щастя, Anthropic не одна

На початку червня Anthropic розширила Glasswing. До програми мають підключитися близько 150 нових організацій із більш ніж 15 країн, у тому числі постачальники критичної інфраструктури та вендори, від коду яких залежать багато інших організацій. У той же час конкуренти Anthropic намагаються наздогнати лідера.

Google DeepMind представила CodeMender як ШІ-агента для безпеки коду. За словами Google, напрями Big Sleep та OSS-Fuzz уже показали здатність ШІ знаходити zero-day у добре протестованому ПЗ, а CodeMender за пів року допоміг внести в open-source близько 72 виправлень безпеки.

GitHub розвиває Code Security і Copilot Autofix. Компанія заявляє про середнє прискорення усунення вразливостей утричі та пропозиції для 90% типів алертів. Агентний Autofix має автономно створювати pull request’и з виправленнями.

OpenAI розвиває Codex Security з акцентом на повний цикл — модель загроз, реалістичні шляхи атаки, ізольовану валідацію та патчі для перевірки людиною.

Microsoft розширює агентів Security Copilot на розбір фішингу, усунення вразливостей і тріаж алертів — уже не лише для AppSec, а й для хмари, ідентичності та реагування на інциденти.

Semgrep просуває AI-assisted AppSec: SAST, SCA, пошук секретів, пріоритизацію та захист ШІ-згенерованого коду «біля джерела».

IBM та Red Hat 28 травня 2026 року оголосили про Project Lightwell — інвестицію в 5 млрд доларів і команду з понад 20 тисяч інженерів, які разом із ШІ-інструментами захищатимуть open-source через «довірений кліринговий центр».

Гонка почалася. Що активнішою буде здорова конкуренція між виробниками, то сильніше виграє вся індустрія безпеки.

Старі й нові проблеми безпечного розроблення

Старі проблеми безпеки застосунків нікуди не зникли: SQL-ін’єкції, XSS, порушений контроль доступу тощо. Секрети, як і раніше, спливають у репозиторіях. Застарілі залежності тягнуться роками. CI/CD часто будується за принципом «аби збиралося».

Водночас до класичних проблем додалися нові:

• Прискорене накопичення технічного боргу. Вайб-кодинг дає швидкий робочий прототип, але «працює» — не означає «безпечно», особливо без моделювання загроз і тестування негативних сценаріїв.
• Хибне відчуття впевненості. LLM переконливо пояснює код, навіть коли рішення небезпечне. Відоме когнітивне викривлення — відчуття безпеки, що підміняє стан безпеки, — виходить на новий рівень.
• Залежність від зовнішнього контексту. Промпт, README, issue, документація залежності, тестова фікстура чи коментар у коді можуть впливати на поведінку агента. Це шлях до непрямих ін’єкцій у робочі процеси розробника.
• Доступ до секретів. ШІ-агент, розширення IDE чи локальний інструмент нерідко бачать більше, ніж потрібно: термінал, репозиторій, .env, конфіг SSH, хмарні профілі, токени пакетів.
• Прискорене «забруднення» ланцюга постачання. Якщо асистент пропонує додати пакет, який має вигляд популярного, але нещодавно був скомпрометований, команда може ухвалити ризик швидше, ніж устигне його усвідомити.

NIST SSDF каже просту річ: практики безпечного розроблення потрібно вбудовувати в SDLC. Тепер до цього додається нова вимога. Перевіряти потрібно не лише код, який пише людина, а й код, який пропонує ШІ. Перевіряти промпт-потоки, ШІ-агентів, розширення IDE, ідентичності CI/CD. Ставитися до джерел (provenance) не як до гарної печатки, а як до частини ширшої моделі довіри.

Тому безпечне використання ШІ в розробленні — це не заборона, а керований процес: політики, ізоляція, контроль розширень, allowlist’и залежностей, короткоживучі секрети та перевірка ШІ-коду так само суворо, як людського.

Прогнози

Головна проблема 2026 року вже не в тому, що ШІ “пише небезпечний код”. Це надто вузьке формулювання. Справжній ризик у тому, що ШІ починає брати участь у всьому контурі розроблення й атаки: допомагає писати код, вибирати залежності, управляти workflow, шукати вразливості, будувати експлойти, рухатися всередині мережі та адаптуватися до середовища. Тому захищати потрібно не лише застосунок, а всю фабрику ПЗ та весь контур ШІ-асистованої розробки. Наші передбачення на 2026-2027 роки:

Перше. Атак на робочі станції розробників, розширення IDE, GitHub Actions, OIDC, реєстри пакетів та ШІ-процеси розроблення стане значно більше.

Друге. Новий вид шкідливого ПЗ вже показаний лабораторно. Адаптивні ШІ-хробаки не просто використовують заздалегідь написаний експлойт, а підбирають тактику під конкретну мету. Наступний ризик – перенесення схожої агентної логіки в ланцюжки поставок: IDE-розширення, CI/CD, GitHub Actions, npm/PyPI, publish-pipeline та робочі станції розробників.

Третє. Можливості рівня Mythos стануть доступнішими. Навіть якщо Anthropic буде обережною, конкуренти, моделі open-source, державні лабораторії та сірий ринок рухатимуться в той самий бік.

Четверте. Ринок AppSec зміститься від «знайшли список багів» до «знизили реальний ризик». Знайти стане легше. Цінністю стане довести експлуатовність, прибрати хибні спрацювання, усунути першопричину, не зламати реліз і не поховати команду у втомі від алертів.

П’яте. Компанії почнуть вимагати аналіз безпеки ШІ майже так само природно, як раніше вимагали пентест перед запуском. Особливо якщо використовуються Copilot, Cursor, Claude Code, GitHub Actions, npm/PyPI, LLM-агенти чи власні ШІ-функції в продукті.

Що робити?

Не панікувати, але й не спати.

Усім командам розроблення варто переглянути права CI/CD: прибрати довгоживучі секрети, обмежити політики довіри OIDC, перевірити GitHub Actions (особливо pull_request_target, небезпечну роботу з форками, отруєння кешу, широкі permissions та автоматичні job’и публікації), увімкнути сканування секретів, контролювати залежності та їх «вік», розділити права на збирання, тестування, випуск і деплой, перевіряти розширення IDE, логувати вихідні з’єднання ранерів і ставитися до робочої станції розробника як до привілейованого активу, а не як до «просто ноутбука».

Командам, які використовують ШІ в розробленні, додатково потрібні окремі правила. Код, згенерований ШІ, слід вважати недовіреним до перевірки. Не можна віддавати моделям секрети, клієнтські дані, production-конфіги та закритий код без зрозумілого правового й технічного режиму. Для ШІ-агентів це критично подвійно: там автономія перетворюється на проблему значно швидше, ніж за звичайної генерації коду силами LLM.

Для нас ця хвиля підтверджує те, що ми й так давно бачимо в проєктах з безпеки застосунків, DevSecOps, AI security та архітектурних аудитах. Ризик більше не живе лише в коді застосунку. Він живе у зв’язках, залежностях, pipeline, доступах, секретах, інструментах розробника й автоматизації, а також дедалі частіше в самому ШІ, який допомагає писати, читати, виправляти та запускати код.

Тому захист має бути комплексним. H-X Technologies допомагає перевіряти безпеку застосунків, вихідного коду, хмарних конфігурацій, DevOps та ШІ-асистованого розроблення. Ми виконуємо не лише пентести, аудит безпеки застосунків, SAST/SCA, аналіз CI/CD, а й оцінку безпеки ланцюга постачання, архітектури, ШІ-рішень і стратегічного управління ШІ.

Ми можемо провести точковий розбір після інцидентів на кшталт Mini Shai-Hulud чи Megalodon, допомогти побудувати безпечний SDLC та оцінити ризики Copilot, Claude Code, Codex, Cursor, Windsurf та інших інструментів у вашому середовищі. Не «поставимо галочку», а перевіримо, де у вас реально може зламатися ланцюг довіри, як це довести, і що виправити насамперед.

Це не про страх перед ШІ, а про зрілість. ШІ прискорює розроблення й захист, але також він прискорює помилки й атаки. Компанії, які раніше за інших навчаться керувати цим новим контуром ризику, отримають не лише кращу безпеку, а й надійніше розроблення, міцнішу довіру клієнтів і стійкіший ланцюг постачання ПЗ.

Зараз виграє не той, хто гучніше каже «ми використовуємо ШІ», а той, хто вміє безпечно жити у світі, де ШІ вже використовують усі: розробники, захисники й атакувальники.

Напишіть нам сьогодні й отримайте безплатну консультацію з безпеки застосунків та ШІ.