Anthropic's Claude Mythos AI randa 271 pažeidžiamumą „Firefox” – taip, tai labai galinga

Dešimtmečius užpuolikai turėjo pranašumą kibernetinio saugumo srityje. Dirbtinis intelektas gali tai pakeisti.

Antradienį paskelbtame tinklaraščio įraše „Firefox“ naršyklės kūrėjas „Mozilla“ teigė, kad ankstyvoji Anthropic's Claude Mythos AI versija, kuri pastarosiomis savaitėmis atkreipė dėmesį dėl savo tariamo kibernetinio saugumo meistriškumo, padėjo nustatyti 271 naršyklės spragą vidinio bandymo metu. Šios klaidos buvo pataisytos šią savaitę.

Rezultatai parodo, kaip pažangios AI sistemos gali analizuoti dideles kodų bazes ir rasti trūkumus, kuriuos anksčiau reikėjo išsamiai rankiniu būdu peržiūrėti kibernetinio saugumo tyrėjams.

„Kadangi šie pajėgumai pasiekia daugiau gynėjų, daugelis kitų komandų dabar patiria tą patį galvos svaigimą, kokį patyrėme tada, kai pirmą kartą buvo atkreiptas dėmesys“, – rašė Mozilla. „Jei 2025 m. būtų buvęs įspėjamasis tik vienas toks riktas, ir dėl daugybės klaidų iš karto verčia sustoti ir susimąstyti, ar išvis įmanoma neatsilikti.

„Mozilla“ anksčiau išbandė kitą „Anthropic“ modelį, kuris ankstesniame „Firefox“ leidime nustatė 22 saugumo problemas. Nepaisant šių sėkmių, „Mozilla“ pripažino, kad kibernetinio saugumo pramonė ilgą laiką visišką programinės įrangos išnaudojimų panaikinimą traktavo kaip „nerealų tikslą“.

„Iki šiol pramonė iš esmės kovojo dėl saugumo lygiosiomis“, – rašė bendrovė. „Svarbiausios internetinės programinės įrangos, pvz., Firefox, pardavėjai labai rimtai žiūri į saugumą ir sudaro žmonių komandas, kurios kiekvieną rytą kyla iš lovos, galvojančios, kaip apsaugoti vartotojus.

„Mozilla“ teigė, kad naujoji dirbtinio intelekto sistema gali analizuoti šaltinio kodą ir nustatyti pažeidžiamumą tokiais būdais, kurie anksčiau priklausė nuo menkų žmonių žinių. Tačiau „Mozilla“ teigė, kad bendrovė buvo skatinama įsitikinti, kad nebuvo rasta klaidų, kurių nebūtų galėjęs aptikti „elitinis žmonių tyrinėtojas“.

„Kai kurie komentatoriai prognozuoja, kad būsimi AI modeliai atskleis visiškai naujas pažeidžiamumo formas, kurios prieštarauja mūsų dabartiniam supratimui, bet mes taip nemanome“, – sakė jie. „Programinė įranga, tokia kaip Firefox, sukurta moduliniu būdu, kad žmonės galėtų samprotauti dėl jos teisingumo. Ji sudėtinga, bet ne savavališkai sudėtinga.”

Tačiau rezultatai rodo, kad dirbtinio intelekto įrankiai gali leisti kūrėjams atskleisti daugybę pažeidžiamumų prieš užpuolikams jas išnaudojant – nors ir atvirkščiai, netinkamose rankose tai gali sukelti didelių problemų programinės įrangos įmonėms ir vartotojams.

Kovo mėnesį pristatytas „Mythos“ yra pažangiausias „Anthropic“ samprotavimo, kodavimo ir kibernetinio saugumo užduočių modelis. Vidinėje įmonės medžiagoje sistema apibūdinama kaip naujo modelio pakopos dalis už ankstesnės bendrovės Opus serijos.

Bandymai, atlikti prieš modelio išleidimą, parodė, kad jis gali nustatyti tūkstančius anksčiau nežinomų pagrindinių operacinių sistemų ir interneto naršyklių spragų.

„Anthropic“ turi ribotą prieigą prie sistemos per ribotą programą „Project Glasswing“, kuri suteikia tam tikroms technologijų įmonėms, įskaitant „Amazon“, „Apple“ ir „Microsoft“, galimybę naudoti modelį programinės įrangos trūkumams nuskaityti. Tai atspindi didėjančias kibernetinio saugumo pramonės pastangas naudoti AI sistemas pažeidžiamoms vietoms nustatyti ir pataisyti prieš užpuolikams jas išnaudoti.

Tačiau ta pati technologija taip pat galėtų sudaryti sąlygas naujų kibernetinių atakų formoms. Saugumo tyrinėtojai teigia, kad dirbtinio intelekto sistemos, galinčios plačiu mastu analizuoti kodą, galėtų automatizuoti plačiai naudojamos programinės įrangos spragų, kurias galima išnaudoti, atradimą.

Po Mythos paleidimo JK AI saugumo instituto atliktas bandymas parodė, kad AI gali savarankiškai atlikti sudėtingas kibernetines operacijas, įskaitant kelių etapų įmonės tinklo atakos modeliavimą be žmogaus pagalbos. Šios galimybės patraukė vyriausybių ir žvalgybos agentūrų dėmesį.

Nepaisant prezidento Donaldo Trumpo administracijos raginimo nustoti naudoti „Anthropic“ technologiją dėl susirėmimo dėl jos naudojimo karo ir stebėjimo klausimais, pirmadienį buvo atskleista, kad Nacionalinio saugumo agentūra įslaptintuose tinkluose vykdo „Claude Mythos Preview“, teigia šaltiniai, susipažinę su diegimu. „Mythos“ naudojimas pabrėžia didėjantį JAV saugumo agentūrų susidomėjimą modelio gebėjimu nustatyti kritines programinės įrangos spragas.

Modelio našumas taip pat atskleidė esamų AI vertinimo sistemų ribas. Anksčiau šį mėnesį „Anthropic“ pripažino, kad kelių kibernetinio saugumo etalonų nebepakanka, kad būtų galima įvertinti naujausių modelių galimybes.

„Mozilla“ teigė, kad rezultatai rodo galimą kibernetinio saugumo pokytį, kai gynėjai gali pradėti mažinti ilgalaikę užpuolikų pranašumą.

„Mes labai didžiuojamės tuo, kaip mūsų komanda pakilo į šį iššūkį, ir kiti taip pat tai padarys“, – rašė „Mozilla“. „Mūsų darbas dar nebaigtas, bet pasukome už kampo ir galime pažvelgti į ateitį daug geriau nei tiesiog neatsilikti. Gynėjai pagaliau turi galimybę ryžtingai laimėti.”

„Mozilla“ iš karto neatsakė į prašymą pakomentuoti Iššifruoti.