dizinios.lt

Project Glasswing pradėjo veikti. DI rado 17 metų užmigusią FreeBSD spragą, kurios niekas iki šiol nepastebėjo.

DI Žinios redakcija

·

FreeBSD NFS serverio kodas guli atvirai nuo 2009 metų. Per tą laiką jį skaitė šimtai inžinierių, jį tikrino fuzzeriai, jį auditavo saugumo komandos. Niekas nerado nieko bloga.

O tada Anthropic paleido Claude Mythos.

Modelis pats, be žmogaus pagalbos, rado stack buffer overflow, parašė veikiantį exploitą ir parodė, kad bet kas iš interneto gali gauti root teises tame serveryje. Be slaptažodžio. Be vartotojo. Tiesiog užklausa.

Spraga gavo numerį CVE-2026-4747. Septyniolika metų niekas jos nematė. DI ją rado per kelias dienas.

Kas yra Project Glasswing

Anthropic šią savaitę oficialiai paleido Project Glasswing programą. Esmė paprasta: jie turi modelį, kurį dar nei tu, nei aš negalim naudoti viešai, ir tas modelis randa rimtas spragas operacinėse sistemose, naršyklėse, atviro kodo bibliotekose. Modelis vadinasi Mythos Preview.

Užuot išleidę jį visiems iš karto, Anthropic padarė priešingai. Sustabdė. Apribojo. Atidavė pirmiausia tiems, kurie gins, ne tiems, kurie atakuoja.

Programos partneriai dabar yra AWS, Apple, Cisco, Google, Microsoft, NVIDIA, JPMorgan Chase, CrowdStrike, Broadcom, Linux Foundation ir Palo Alto Networks. Plius dar 40+ organizacijų. Iš viso Anthropic padėjo ant stalo 100 milijonų dolerių vertės naudojimo kreditų ir 4 milijonus tiesioginių aukų atviro kodo saugumo komandoms.

Tikslas vienas. Patupdyti tas spragas, kol kažkas piktas neturi tokio paties įrankio.

17 metų FreeBSD bug’as. Plius dar tūkstančiai.

Tas FreeBSD atvejis nėra vienkartinis. Anthropic ataskaita rodo, kad Mythos Preview rado:

  • 27 metų bug’ą OpenBSD operacinėje sistemoje
  • 16 metų FFmpeg spragą (tai biblioteka, kurią naudoja kone visos vaizdo programos pasaulyje)
  • Linux kernel privilegijų paaukštinimo grandines
  • Spragas kiekvienoje pagrindinėje naršyklėje
  • Memory corruption pažeidimą memory-safe virtualioje mašinoje

Tūkstančius. Ne dešimtis, ne šimtus. Tūkstančius nulinės dienos spragų, kurių žmonės nematė dešimtmečiais.

Pažiūrėk į tai kitu kampu. Tos pačios atviros bibliotekos, ant kurių stovi banko sistemos, oro uostų valdymas, ligoninių serveriai, tavo telefono atnaujinimai. Visi tie kodai praėjo žmonių peržiūrą. Ir vis tiek juose buvo bombelių, apie kurias niekas nežinojo.

Kodėl tai svarbu tau, net jei nesi programuotojas

Aš, atvirai, kai pirmą kartą perskaičiau apie Mythos, jaučiausi keistai. Iš vienos pusės — fantastiška. DI dabar gina tai, kas iki šiol būdavo apgainiojama tik žmogiško audito.

Iš kitos pusės palauk. Jeigu Anthropic Mythos randa tokias spragas, ką randa tas pats modelis, jeigu jis pateks į rankas, kurioms neturi patekti?

Schneier šią savaitę savo bloge tą tiksliai užrašė. „Mes esame momente, kai DI gebėjimai aplenkė atakuotojų ir gynėjų pusiausvyrą”. Iki šiol gynėjai turėjo trumpą laiko langą, jie galėjo pataisyti spragą prieš ją išnaudojant. Dabar tas langas susitraukė į kelias valandas.

Štai kodėl 100 milijonų dolerių programa nėra korporatyvinis PR. Tai realus mėginimas užbėgti už akių. Jei šito modelio kopija atsiras Kinijoje arba pas FSB, gynėjai turi būti pasiruošę bent metams į priekį.

Ar Glasswing tikrai veikia, ar tai marketingo kostiumėlis

Skeptikai jau parašė. CSO Online publikavo straipsnį „behind the Mythos hype, Glasswing has just one confirmed CVE”. Esmė tokia. Anthropic skelbia tūkstančius spragų, bet viešai patvirtinta tik viena (ta FreeBSD).

Kažkur tai logiška. Saugumo bendruomenėje neviešina spragų, kol jos nėra ištaisytos. Tūkstančiai radinių gali būti tiesa, tik mes nepamatysim sąrašo dar metus ar dvejus, kol kiekviena praeis responsible disclosure procesą.

VulnCheck šiuo metu seka kiekvieną CVE, kuriam priskiriama Glasswing arba Anthropic. Jų sąrašas nuolat auga, tik daug spragų dar yra slapto statuso.

Aš palauksiu metų. Tada bus aišku, ar 100 milijonų dolerių programa atnešė rezultatą, ar buvo gražiai supakuotas pranešimas spaudai. Bet kol kas ta FreeBSD spraga yra tikra, ir jos vienos pakanka, kad situacija pasikeistų.

Anthropic reali strategija

Reikia atskirti, kas čia vyksta plačiau. Anthropic per pastaruosius mėnesius daro labai aiškią poziciją.

Pirma, atsisako Pentagono milijardų. Apie tai jau rašiau: kompanija viešai pasakė, kad neparduos savo modelių kariniam panaudojimui. Po to Pentagonas pasirašė sutartis su septyniais kitais DI gigantais, o Anthropic liko už durų.

Antra, atneša Mythos į bankus. Dar prieš oficialų Glasswing paleidimą Mythos jau dirbo bankininkystėje ir padėjo valdyti kritinę finansų infrastruktūrą.

Trečia, ragina vyriausybes tikrinti modelius. Microsoft, Google ir xAI atidavė savo modelius NIST patikrinimui, Anthropic buvo viena pirmųjų, kurios apie tai kalbėjo viešai.

Iš to matyti vienas atsakymas. Anthropic save pozicionuoja kaip „atsakingąjį suaugusįjį stadione”. Ir Project Glasswing yra to logiška tąsa. Vietoje to, kad išleistų Mythos visiems už mokestį, jie nuėjo lėtu keliu, apsaugoti kritinę infrastruktūrą pirmiausia.

Ką tai reiškia mažam verslui Lietuvoje

Tu sakysi „čia FreeBSD, čia Linux kernel, kas man iš to”. Bet pažiūrėk dar kartą. Tavo svetainė tikriausiai sukasi ant Linux serverio. Tavo el. paštas eina per OpenBSD pagrįstus įrenginius. Tavo telefono OS naudoja FFmpeg vaizdams kompresuoti.

Bet kuri iš tų spragų, jei būtų pateikusi į blogąsias rankas, galėjo paveikti kiekvieną mažą verslą Lietuvoje. Be jokios specifinės atakos prieš tave. Tu būtum buvęs tik vienas iš milijonų pažeidžiamų taškų.

Glasswing reikšmė mažam verslui yra netiesioginė. Tavo darbo aplinka taps saugesnė, nes tavo serverių tiekėjai (AWS, Google Cloud, Microsoft) jau dabar gauna informaciją apie spragas pirmieji. Bet bazinis DI saugumas mažam verslui vis tiek prasideda nuo tavo paties veiksmų. Slaptažodžiai, dvifaktorė autentifikacija, atnaujinimai laiku.

Kas toliau

Mythos Preview kol kas nėra prieinamas viešai. Anthropic žada, kad pilna Mythos versija išeis vėliau šiais metais, ir tada viskas pasikeis vėl. Jei modelis tikrai randa tūkstančius spragų per kelias savaites, tai prasideda nauja era saugume.

Klausimas paprastas. Ar tu jau pradėjai galvoti apie tai, kaip DI keičia tavo verslo saugumą? Ne abstrakčiai, o konkrečiai. Kuriuos procesus reikia peržiūrėti per artimiausius 6 mėnesius?

Tagai: , ,

Susiję straipsniai