Індустрія кібербезпеки зіткнулася з появою Mythos — потужної моделі штучного інтелекту, розробленої компанією Anthropic, яка має вражаючу здатність виявляти вразливість у програмному забезпеченні. Хоча існування моделі стало відомо випадково через незахищену веб-сторінку, наслідки появи такого інструменту дуже глибокі. Це породило дискусію про те, чи є ІІ катастрофічною загрозою, чи він стане життєво важливим щитом для цифрового захисту.
Виявлення цифрового «майстер-ключа»
Mythos не призначався для широкого загалу. За даними Anthropic, модель набула випадкової, але вкрай складної здатності: знаходити критичні вади практично в будь-якому програмному забезпеченні, що потенційно дозволяє користувачам обходити протоколи безпеки.
Масштаб можливостей моделі вражає. Anthropic повідомляє, що Mythos виявив тисячі вразливостей високого та критичного рівнів серйозності у різних операційних системах. Подібна ефективність ставить перед цифровою епохою фундаментальне питання: що відбудеться, коли машина зможе за лічені секунди виконати те, на що у досвідченого хакера пішли б місяці?
Контрольований доступ проти неконтрольованих ризиків
Щоб мінімізувати ризик зловживань, Anthropic запровадила стратегію обмеженого доступу у рамках Project Glasswing. Замість випускати інструмент у загальний доступ, компанія надала його вузькому колу лідерів індустрії, включаючи:
– Технологічних гігантів: Apple, Google, Microsoft та NVIDIA;
– Хмарних провайдерів: Amazon Web Services (AWS);
– **Фінансові інститути: ** JPMorganChase.
Ціль полягає в тому, щоб дозволити цим організаціям використовувати Mythos для «стрес-тестування» власних систем, знаходячи і виправляючи баги до того, як ними скористаються зловмисники.
Однак безпека цього контрольованого розгортання вже зазнала випробування. Неавторизовані користувачі на закритих форумах зуміли отримати доступ до пробної версії, зробивши «обґрунтовані припущення» про місце розміщення моделі — цей промах у системі безпеки виглядає іронічно, враховуючи саме призначення інструменту.
Чи перебільшена загроза?
Незважаючи на тривожні заголовки, експерти розходяться в думках щодо того, чи є Mythos негайною «загрозою цивілізації».
Аргументи на користь обережності
Інститут безпеки ІІ (AISI) зазначає, що, хоча Mythos є значним кроком вперед у порівнянні з попередніми моделями, його нинішній успіх здебільшого обмежений атаками на «невеликі, слабко захищені та вразливі корпоративні системи». Поки що немає доказів того, що він здатний зламати високозахищені сучасні мережі.
Аргументи на користь прагматизму
Дослідники в галузі безпеки, такі як Боббі Холлі з Firefox, вважають, що, хоча Mythos неймовірно ефективний, він не обов’язково «розумніший» за людину. У ході тестування Mythos виявив 271 вразливість у браузері Firefox, але жодна з них не була настільки складною, щоб елітний дослідник-людина не зміг би її знайти.
Справжній зсув полягає не в типі виявлених багів, а в швидкості і масштабах:
– Ефективність: ІІ невтомний і ретельний; він знаходить недоліки, які люди просто пропускають через втому або брак часу.
– Перевага захисника: Якщо розробники ПЗ будуть використовувати Mythos для аудиту свого коду перед випуском, вони зможуть ефективно очистити свої програми від уразливостей. Це потенційно може призвести до світу, де всі відомі дефекти будуть виявлені та виправлені.
Вікно можливостей закривається
Поява Mythos підкреслює зміну парадигми у кібербезпеці. Ми вступаємо в епоху “автоматизованих воєн”, де і атакуючі, і захисники використовують ІІ для підвищення своєї маневреності.
Хоча на даний момент інструмент більше допомагає захисникам, ніж атакуючим, ландшафт швидко змінюється. Експерти попереджають, що протягом наступних 18 місяців подібні можливості, найімовірніше, потраплять до рук зловмисників.
«Вікно можливостей у тому, щоб випередити цей процес, відкрито, але воно стрімко закривається». – Кевін Керран, Університет Ольстера
Висновок
Mythos служить високоризикованим доказом концепції: ІІ стрімко прискорює цикл виявлення вразливостей. Пропонуючи потужний новий спосіб захисту програмного забезпечення, він одночасно створює креслення для більш швидких та ефективних кібератак.
