- Το Claude Mythos Preview έχει εντοπίσει χιλιάδες κρίσιμα ελαττώματα σε θεμελιώδες λογισμικό, τα οποία υπερβαίνουν κατά πολύ τις δυνατότητες ανίχνευσης των ανθρώπων και των παραδοσιακών εργαλείων.
- Το Project Glasswing είναι ένας περιορισμένος συνασπισμός 50 τεχνολογικών και χρηματοοικονομικών γιγάντων που χρησιμοποιούν αυτήν την Τεχνητή Νοημοσύνη για να επιδιορθώνουν τα τρωτά σημεία πριν αυτά γίνουν αντικείμενο εκμετάλλευσης.
- Το μοντέλο παραμένει υπό ελεγχόμενη πρόσβαση λόγω του επιπέδου κινδύνου ASL-4, καθώς έχει την ικανότητα να δημιουργεί λειτουργικά exploits αυτόνομα.
Φανταστείτε ότι το λογισμικό που υποστηρίζει το διαδίκτυο, από τα προγράμματα περιήγησης που χρησιμοποιείτε για να διαβάσετε αυτό μέχρι τα λειτουργικά συστήματα των πιο ισχυρών διακομιστών, είχε αόρατες ρωγμές που κανείς δεν είχε παρατηρήσει εδώ και δεκαετίες. Λοιπόν, αποδεικνύεται ότι Ο Anthropic έκανε αίσθηση. με ένα εργαλείο που όχι μόνο βρίσκει αυτές τις ρωγμές, αλλά ξέρει ακριβώς πώς να τις διαπεράσει, αναγκάζοντας ολόκληρο τον κλάδο να επανεξετάσει τον τρόπο με τον οποίο προστατεύουμε τα δεδομένα μας.
Δεν μιλάμε για μια απλή ενημέρωση σε μια έξυπνη συνομιλία, αλλά για μια πλήρη αλλαγή παραδείγματος. Με την κυκλοφορία του Έργο GlasswingΗ εταιρεία αποφάσισε να παίξει προληπτικό ρόλο άμυνας, φέρνοντας κοντά κολοσσούς από τον τεχνολογικό και τον χρηματοπιστωτικό τομέα για να καθαρίσουν τον παγκόσμιο κώδικα προτού κάποιος με κακές προθέσεις αποφασίσει να χρησιμοποιήσει την ίδια τεχνολογία για να δημιουργήσει ψηφιακό χάος.
Ο εγκέφαλος πίσω από την επιχείρηση: Προεπισκόπηση του Κλοντ Μίθος
Η πραγματική κινητήρια δύναμη πίσω από όλη αυτή την παρωδία είναι Προεπισκόπηση του Κλοντ ΜίθοςΤο Mythos, ένα μοντέλο τεχνητής νοημοσύνης που ντροπιάζει τους προκατόχους του όσον αφορά την ανάλυση ασφάλειας. Σε αντίθεση με τα εμπορικά μοντέλα, το Mythos διαθέτει μια ικανότητα βαθιάς συλλογιστικής που του επιτρέπει να... Εντοπίστε χιλιάδες τρωτά σημεία zero-dayΔηλαδή, ελαττώματα που ακόμη και οι αρχικοί προγραμματιστές δεν γνώριζαν.
Αυτό που κάνει αυτό το μοντέλο ένα πραγματικό θηρίο είναι η ικανότητά του να... αλυσίδα τρωτών σημείωνΣτον πραγματικό κόσμο, ένας χάκερ συνήθως δεν χρησιμοποιεί ένα μόνο κενό ασφαλείας, αλλά μάλλον συνδυάζει πολλά μικρότερα ελαττώματα για να αποκτήσει πλήρη πρόσβαση. Το Mythos μπορεί να συμπεράνει πώς να συνδυάσει αυτά τα κομμάτια και, ακόμη πιο εντυπωσιακά, είναι σε θέση να γράψτε και εκτελέστε δοκιμαστικό κώδικα για να αποδειχθεί ότι η αποτυχία είναι πραγματική και εκμεταλλεύσιμη, εξαλείφοντας έτσι τον θόρυβο των ψευδώς θετικών που ενοχλούν τόσο πολύ το Αναλυτές κυβερνοασφάλειας και τα εργαλεία τους.
Φιγούρες που σου σηκώνουν τα μαλλιά όρθια
Αν νομίζατε ότι το ώριμο λογισμικό ήταν ασφαλές, τα δεδομένα της Glasswing θα σας προκαλέσουν εφιάλτες. Σε μόλις τριάντα ημέρες, οι συνεργάτες του προγράμματος εντόπισαν περισσότερα από 10.000 τρωτά σημεία υψηλής ή κρίσιμης σοβαρότητας. Μόνο το Cloudflare, που ήδη αποτελεί σημείο αναφοράς στην ασφάλεια, βρήκε 2.000 σφάλματα στα δικά του συστήματα, εκ των οποίων 400 ήταν κρίσιμααποδεικνύοντας ότι ακόμη και οι πιο προετοιμασμένοι δεν εξαιρούνται από το να κάνουν λάθη.
Η κατάσταση με τον ανοιχτό κώδικα είναι ακόμη πιο ανησυχητική. Η Anthropic ανέλυσε περίπου 1.000 έργα απαραίτητα για τον ιστό και βρήκε περισσότερα από 23.000 πιθανά ελαττώματα, με 6.202 από αυτά χαρακτηρίστηκαν ως σοβαράΓια να σας δώσω μια ιδέα, το μοντέλο ανακάλυψε ένα σφάλμα στο OpenBSD που είχε... 27 χρόνια κοιμισμένος...εκτός από τα 16 και 17 χρόνια ευπαθειών στο FFmpeg και το FreeBSD, αντίστοιχα. Λογισμικό που είχε περάσει χίλιους ελέγχους και εξακολουθούσε να έχει μια ευπάθεια.
Γιατί δεν μπορούμε να χρησιμοποιήσουμε το Mythos στο σπίτι;
Πιθανότατα αναρωτιέστε γιατί η Anthropic δεν κυκλοφορεί αυτό το μοντέλο στο κοινό. Η απάντηση είναι απλή: είναι πολύ επικίνδυνο. Το Mythos έχει ταξινομηθεί εσωτερικά ως ASL-4 (Επίπεδο ασφάλειας τεχνητής νοημοσύνης 4)Αυτό σημαίνει ότι υπάρχει η πιθανότητα καταστροφικής ζημιάς αν πέσει σε λάθος χέρια. Ένα μοντέλο που εντοπίζει ένα σφάλμα με τέτοια ακρίβεια μπορεί, εν ριπή οφθαλμού, δημιουργήστε το τέλειο exploit να επιτεθώ σε έναν κρίσιμες υποδομές τομέα.
Συνεπώς, η πρόσβαση περιορίζεται σε έναν κλειστό κύκλο 50 επιλεγμένοι οργανισμοίΣε αυτούς περιλαμβάνονται γίγαντες όπως η Microsoft, η Google, η Apple, η Amazon και η JPMorgan Chase. Η ιδέα είναι ότι αυτές οι οντότητες θα χρησιμοποιήσουν την Τεχνητή Νοημοσύνη για να μαζική ενημέρωση κώδικα του λογισμικού πριν οι επιτιθέμενοι αναπτύξουν τα δικά τους εργαλεία βασισμένα σε παρόμοια μοντέλα. Ουσιαστικά πρόκειται για έναν αγώνα εξοπλισμών όπου η Anthropic θέλει οι καλοί να προηγηθούν.
Μαθήματα για τον τομέα και το μέλλον της ανάπτυξης
Αυτή η ανάπτυξη καθιστά σαφές ότι η ασφάλεια δεν μπορεί πλέον να αποτελεί δεύτερη σκέψη. Το Cloudflare έχει επισημάνει ότι η χρήση πρακτόρων τεχνητής νοημοσύνης απαιτεί ένα πολύ συγκεκριμένο περιβάλλον δοκιμών. Δεν αρκεί απλώς να ζητάμε από το μοντέλο να «αναζητήσει σφάλματα», αλλά μάλλον... τμηματοποίηση εργασιών και χρήση αντιπαραθετικής αξιολόγησης (ένας δεύτερος πράκτορας που αμφισβητεί τα αποτελέσματα του πρώτου) για να αποτρέψει την Τεχνητή Νοημοσύνη από το να επινοήσει πράγματα.
Επιπλέον, έχει αναδυθεί ένα ανησυχητικό ανθρώπινο εμπόδιο: Η Τεχνητή Νοημοσύνη βρίσκει σφάλματα πιο γρήγορα από ό,τι μπορούν να τα διορθώσουν οι προγραμματιστές. Ενώ η Mythos ανιχνεύει χιλιάδες σφάλματα, η διαδικασία... διαλογή, αναφορά και ενημέρωση κώδικα Εξακολουθεί να βασίζεται σε υπερβολικά μεγάλο αριθμό προσωπικού. Αυτό έχει οδηγήσει ορισμένες εταιρείες να προσπαθήσουν να μειώσουν τις SLA απόκρισης σε μόλις δύο ώρες από τη δημοσίευση ενός CVEΩστόσο, αυτό ενέχει τον κίνδυνο κυκλοφορίας ενημερώσεων κώδικα χωρίς κατάλληλες δοκιμές παλινδρόμησης.
Για να αντιμετωπίσει αυτό, η Anthropic ξεκίνησε Claude Security σε beta έκδοση για εταιρικούς πελάτες και το Πρόγραμμα Επαλήθευσης Κυβερνοχώρου, επιτρέποντας σε νόμιμους επαγγελματίες να χρησιμοποιούν τα μοντέλα τους χωρίς τους συνήθεις περιορισμούς. Έχουν επίσης διαθέσει εκατομμύρια δολάρια σε ιδρύματα όπως το Linux Foundation και το Apache για να βοηθήσουν τους συντηρητές ανοιχτού κώδικα να διαχείριση αυτού του τσουνάμι αναφορών ασφάλειας.
Η πραγματικότητα είναι ότι το κόστος ανακάλυψης τρωτών σημείων έχει μειωθεί κατακόρυφα και το χρονικό περιθώριο μεταξύ ανακάλυψης και εκμετάλλευσης είναι πλέον στενότερο από ποτέ. Η επιτυχία του Project Glasswing καταδεικνύει ότι ο μόνος τρόπος επιβίωσης σε αυτό το νέο οικοσύστημα είναι μέσω... διαφάνεια και διατομεακή συνεργασία, αποδεχόμενοι ότι η Τεχνητή Νοημοσύνη είναι πλέον το κύριο εργαλείο τόσο για την επίθεση όσο και για την υπεράσπιση της παγκόσμιας ψηφιακής υποδομής.
