Anthropic Project Glasswing: DI modelis rado tūkstančius pažeidžiamumų, kurių niekas nepastebėjo 27 metus
·
27 metus. Tiek laiko viena saugumo spraga OpenBSD operacinėje sistemoje laukė, kol kas nors ją aptiks. Ne žmogus rado. Rado DI modelis, kurio dar net negalima nusipirkti.
Anthropic praėjusią savaitę pristatė Project Glasswing. Pavadinimas pagal drugelio rūšį Greta oto, kurio sparnai beveik skaidrūs. Bet projekto turinys tikrai neskaidrus. Tai viena rimčiausių kibernetinio saugumo iniciatyvų, kokią DI pasaulis matė.
Kas per projektas ir kodėl svarbu
Project Glasswing sujungė daugiau nei 40 organizacijų, tarp kurių Apple, Microsoft, Google, Amazon, Cisco, NVIDIA, CrowdStrike ir JPMorgan Chase. Visos jos gavo prieigą prie dar neišleisto Anthropic modelio Claude Mythos Preview.
Modelio tikslas konkretus: rasti programinės įrangos pažeidžiamumus greičiau nei tai padarytų įsilaužėliai.
Ir rezultatai jau yra. Mythos Preview autonomiškai aptiko tūkstančius aukšto pavojingumo zero-day pažeidžiamumų. Tarp jų minėta 27 metų senumo spraga OpenBSD, 16 metų senumo klaida FFmpeg bibliotekoje ir Linux branduolio grandinės, leidžiančios visiškai perimti sistemos kontrolę. Kiekviename pagrindiniame naršyklėje ir operacinėje sistemoje rasta spragų.
Tai reiškia paprastą dalyką: DI modeliai jau gali rasti spragas geriau nei dauguma žmonių.
100 milijonų dolerių gynybai
Anthropic investuoja iki 100 mln. dolerių kreditais partneriams ir 4 mln. dolerių tiesiogiai atviro kodo saugumo organizacijoms. Kontekstas svarbus. Google neseniai investavo 40 mlrd. dolerių į Anthropic, todėl kompanija turi resursų tokiems projektams.
Projekto logika paprasta, bet svarbi. Jei DI modeliai gali rasti pažeidžiamumus, tai tą patį darys ir kibernetiniai nusikaltėliai su savo modeliais. Klausimas tik kas bus greitesnis. Anthropic nori, kad gynėjai turėtų pranašumą.
Ką tai reiškia tau
Gal nesi programuotojas. Gal tavęs OpenBSD pažeidžiamumas nedomina. Bet pagalvok apie tai taip.
Tavo bankas naudoja programinę įrangą. Tavo el. paštas veikia ant serverių. Tavo telefonas turi operacinę sistemą, kurioje galbūt slypi spraga, apie kurią niekas nežinojo dešimtmečiais. Project Glasswing bando tas spragas surasti ir užlopyti dar prieš tai, kai kas nors jas panaudos prieš tave.
ES DI aktas jau reikalauja, kad verslas atsakingai naudotų DI technologijas. Kibernetinis saugumas tampa ne tik IT skyriaus, bet ir kiekvieno vadovo atsakomybe.
DI ginklavimosi lenktynės saugumo srityje
Štai kas neramina. DI jau rašo pusę Google kodo. Dabar DI randa kodo klaidas. Rytoj DI galbūt ras ir panaudos tas klaidas. Tai klasikinės ginklavimosi lenktynės, tik skaitmeninės.
Anthropic tai vadina „gynybos pranašumo” strategija. Idėja tokia: jei duosi galingiausius modelius gynėjams pirmiems, jie spės užlopyti spragas dar prieš atakuotojams pasivejant. Ar tai veiks ilgainiui, niekas tiksliai nežino.
Bet alternatyva nieko nedaryti dar blogesnė.
Mokslininkai kol kas dar lenkia DI agentus kai kuriose srityse. Kibernetinis saugumas, regis, nebėra viena iš jų.
Pirmi rezultatai per 90 dienų
Anthropic pažadėjo, kad per 90 dienų nuo projekto starto viešai paskelbs pirmuosius radinius. Tai reiškia, kad iki liepos turėsime konkrečių duomenų apie tai, kiek spragų rasta ir kur.
Tuo tarpu DI investicijos toliau auga, bet šį kartą pinigai keliauja ne tik į naujus modelius, bet ir į saugumą. Ir tai gera žinia.
Dažniausiai užduodami klausimai
Kas yra Project Glasswing?
Tai Anthropic iniciatyva, sujungusi daugiau nei 40 technologijų kompanijų, kad DI modelis Claude Mythos Preview rastų programinės įrangos pažeidžiamumus anksčiau nei kibernetiniai nusikaltėliai.
Ar Claude Mythos Preview prieinamas visiems?
Ne. Šiuo metu modelis prieinamas tik Project Glasswing partneriams tyrimų tikslais. Jis nėra viešai pardavinėjamas ar prieinamas per API.
Kodėl DI kibernetinis saugumas svarbus eiliniam žmogui?
Nes programinė įranga, kurią kasdien naudoji (naršyklės, el. paštas, bankininkystė), gali turėti paslėptų spragų. DI padeda jas rasti ir ištaisyti greičiau nei bet kada anksčiau.
