Индустрия кибербезопасности столкнулась с появлением Mythos — мощной модели искусственного интеллекта, разработанной компанией Anthropic, которая обладает поразительной способностью выявлять уязвимости в программном обеспечении. Хотя существование модели стало известно случайно из-за незащищенной веб-страницы, последствия появления такого инструмента весьма глубоки. Это породило дискуссию о том, является ли ИИ катастрофической угрозой или же он станет жизненно важным щитом для цифровой защиты.
Обнаружение цифрового «мастер-ключа»
Mythos не предназначался для широкой публики. По данным Anthropic, модель приобрела случайную, но крайне сложную способность: находить критические изъяны практически в любом программном обеспечении, что потенциально позволяет пользователям обходить протоколы безопасности.
Масштаб возможностей модели впечатляет. Anthropic сообщает, что Mythos выявил тысячи уязвимостей высокого и критического уровней серьезности в различных операционных системах. Подобная эффективность ставит перед цифровой эпохой фундаментальный вопрос: что произойдет, когда машина сможет за считанные секунды выполнить то, на что у опытного хакера ушли бы месяцы?
Контролируемый доступ против неконтролируемых рисков
Чтобы минимизировать риск злоупотреблений, Anthropic внедрила стратегию ограниченного доступа в рамках Project Glasswing. Вместо того чтобы выпускать инструмент в общий доступ, компания предоставила его узкому кругу лидеров индустрии, включая:
— Технологических гигантов: Apple, Google, Microsoft и NVIDIA;
— Облачных провайдеров: Amazon Web Services (AWS);
— Финансовые институты: JPMorganChase.
Цель состоит в том, чтобы позволить этим организациям использовать Mythos для «стресс-тестирования» собственных систем, находя и исправляя баги до того, как ими воспользуются злоумышленники.
Однако безопасность этого контролируемого развертывания уже подверглась испытанию. Неавторизованные пользователи на закрытых форумах сумели получить доступ к пробной версии, сделав «обоснованные предположения» о месте размещения модели — этот промах в системе безопасности выглядит иронично, учитывая само предназначение инструмента.
Преувеличена ли угроза?
Несмотря на тревожные заголовки, эксперты расходятся во мнениях относительно того, представляет ли Mythos немедленную «угрозу цивилизации».
Аргументы в пользу осторожности
Институт безопасности ИИ (AISI) отмечает, что, хотя Mythos является значительным шагом вперед по сравнению с предыдущими моделями, его нынешний успех в основном ограничен атаками на «небольшие, слабо защищенные и уязвимые корпоративные системы». Пока нет доказательств того, что он способен взломать высокозащищенные современные сети.
Аргументы в пользу прагматизма
Исследователи в области безопасности, такие как Бобби Холли из Firefox, полагают, что, хотя Mythos невероятно эффективен, он не обязательно «умнее» человека. В ходе тестирования Mythos обнаружил 271 уязвимость в браузере Firefox, но ни одна из них не была настолько сложной, чтобы элитный исследователь-человек не смог бы ее найти.
Настоящий сдвиг заключается не в типе обнаруженных багов, а в скорости и масштабах :
— Эффективность: ИИ неутомим и тщателен; он находит недостатки, которые люди просто пропускают из-за усталости или нехватки времени.
— Преимущество защитника: Если разработчики ПО будут использовать Mythos для аудита своего кода перед выпуском, они смогут эффективно «очистить» свои программы от уязвимостей. Это потенциально может привести к миру, где все известные дефекты будут выявлены и исправлены.
Окно возможностей закрывается
Появление Mythos подчеркивает смену парадигмы в кибербезопасности. Мы вступаем в эпоху автоматизированных войн, где и атакующие, и защитники используют ИИ для повышения своей маневренности.
Хотя на данный момент инструмент больше помогает защитникам, чем атакующим, ландшафт стремительно меняется. Эксперты предупреждают, что в течение следующих 18 месяцев подобные возможности, скорее всего, попадут в руки злоумышленников.
«Окно возможностей для того, чтобы опередить этот процесс, открыто, но оно стремительно закрывается». — Кевин Керран, Университет Ольстера
Заключение
Mythos служит высокорискованным доказательством концепции: ИИ стремительно ускоряет цикл обнаружения уязвимостей. Предлагая мощный новый способ защиты программного обеспечения, он одновременно создает чертеж для гораздо более быстрых и эффективных кибератак.
