„Programinės įrangos klaida galėjo sugadinti užkardų, serverių ir tinklo įrenginių naudojamą operacinę sistemą. Ji nebuvo pastebėta daugiau nei 27 metus.
Praėjusį mėnesį ją aptiko „Mythos“ – naujausias „Anthropic“ dirbtinio intelekto modelis, išgąsdinęs Baltuosius rūmus, bankų vadovus ir kibernetinio saugumo specialistus visame pasaulyje.
Sveiki atvykę į klaidų armagedoną. Dirbtinio intelekto modeliai, tokie kaip „Mythos“ ir kiti, randa klaidų senesnėje programinėje įrangoje dar nematytu greičiu.
Nors dauguma kodavimo problemų gali būti nedidelės, jų didžiulis kiekis padidino riziką, kad mažesni programinės įrangos kūrėjai bus užversti pranešimais apie tokias klaidas, kokias rado „Mythos“.
Dirbtinio intelekto dėka įsilaužėliai galės pasinaudoti šiomis klaidomis greičiau nei bet kada anksčiau.
1998 m. „OpenBSD“ operacinės sistemos klaida buvo viena iš tūkstančių „Mythos“ praėjusį mėnesį rastų klaidų.
„Anthropic“ praėjusią savaitę pareiškė, kad bendradarbiauja su maždaug 50 technologijų įmonių ir organizacijų, kad surastų ir ištaisytų klaidas, ir šiuo metu neplanuoja išleisti „Mythos“. plačiajai visuomenei.
„Turime žinoti, kad galime jį saugiai išleisti, ir nėra visiškai aišku, kaip tai padaryti visiškai užtikrintai“, – sakė Loganas Grahamas, „Anthropic“ „Frontier Red Team“, kuri vertina dirbtinio intelekto riziką, vadovas.
„Anthropic“ konkurentė „OpenAI“ kuria panašią kampaniją, siūlydama kūrėjams į saugumą orientuotą savo produkto versiją, kad jie galėtų pataisyti sistemas prieš tai, kai šias klaidas aptinka nusikaltėliai, teigia asmuo, susipažinęs su bendrovės planais.
„Google“ taip pat kuria ankstyvos prieigos kūrėjams iniciatyvą, teigė bendrovė.
„Mythos“ sukėlė kovą tarp technologijų darbuotojų didelėse įmonėse, nes daugelis bandė suprasti, kaip naujas modelis galėtų pakenkti kibernetiniam saugumui ir atskleisti daugybę naujų grėsmių jų produktams.
„Numeric“, San Franciske įsikūrusi dirbtinio intelekto apskaitos automatizavimo platforma, neseniai pradėjo diskusiją apie savo riziką kibernetinio saugumo „Slack“ kanale.
Kai kurios didžiausios rizikos įmonėms, pasak „Numeric“ įkūrėjo Anthony Alvernazo, greičiausiai kils dėl priklausomybės nuo vadinamojo „atvirojo kodo“. įrankiai, sukurti bendradarbiaujant, dažnai savanorių, kurie gali neturėti išteklių greitai atrinkti klaidų ataskaitas.
Ši infrastruktūra yra didžiosios dalies šiuolaikinio interneto pagrindas, sakė jis.
„Įmonės rašomas kodas yra beveik kaip viršutinis torto sluoksnis, o po juo yra visi šie atvirojo kodo programinės įrangos sluoksniai“, – sakė jis.
Kai praėjusią savaitę išgirdo, kad „Mythos“ rado seną „OpenBSD“ klaidą, saugumo tyrėjas Nielsas Provosas susimąstė, ar jis nepadarė klaidos, kai prieš 27 metus rašė kodą „OpenBSD“, siekdamas daktaro laipsnio Mičigano universitete. Greitas patikrinimas patvirtino jo įtarimus.
„Tiesą sakant, man tai tiesiog pasirodė juokinga.“ „Nes tai toks senas kodas“, – sakė Provosas, buvęs mokėjimų bendrovės „Stripe“ saugumo vadovas. „Kas žino, kada paskutinį kartą žmogus į jį žiūrėjo.“
Kad žmonės rastų ir išnaudotų tokią klaidą, paprastai reikėtų daugybės valandų tyrimų. Dauguma įsilaužėlių net nebūtų apžiūrėję seno „Provos“ kodo, manydami, kad jame buvo ieškoma klaidų, sakė Provosas.
„Anksčiau tai galėjo padaryti tik saujelė žmonių“, – sakė jis. „Dabar, turint šiuos įrankius, įgūdžiai, reikalingi kuriant tikrai sudėtingus pažeidžiamumus, labai sumažėjo.“
„Mythos“ rado klaidą – kartu su keliomis dešimtimis kitų problemų – per dvi dienas sunaudodama apie 20 000 USD skaičiavimo galios, sakė „Anthropic“.
Per pastarąsias kelias savaites „Mythos“ taip pat įrodė, kad geriau rašo kodą, kuris gali išnaudoti šias pažeidžiamumus, sakė „Anthropic“.
Šiandien dauguma kibernetinių atakų nėra susijusios su anksčiau neatrastais pažeidžiamumais, vadinamais nulinės dienos pažeidžiamumais.
Hakeriai dažniau įsilaužia į įmones naudodami anksčiau atrastus pažeidžiamumus. klaidas, vagiant prisijungimo duomenis arba naudojant socialinės inžinerijos metodus. Be to, dauguma korporacijų turi kitų strategijų, kaip sušvelninti kibernetines atakas, net jei įsilaužiama į atskirą kompiuterį.
Anksčiau šiais metais „Anthropic“ programinė įranga „Firefox“ naršyklėje aptiko daugiau nei 100 klaidų ir netgi sugebėjo parašyti kodą, kuris galėtų išnaudoti vieną iš šių klaidų bandomojoje naršyklės versijoje. Realiame pasaulyje „Firefox“ turėjo kitų saugumo mažinimo priemonių, kurios būtų sustabdžiusios ataką, o tai būtų padarę daugiau darbo realaus pasaulio įsilaužėliams.
Naujausių dirbtinio intelekto modelių kibernetinio saugumo galimybės per pastaruosius kelis mėnesius užkariavo skeptikų širdis. Jie pradėjo nerimauti, kad didžiulio ir vis didėjančio klaidų skaičiaus taisymas sukels precedento neturintį logistinį iššūkį – dirbtinio intelekto atitikmenį Y2K, pasaulines pastangas pataisyti programas visame pasaulyje, kurios negalėjo suprasti praėjus metams po 1999 m. Y2K įspėjimai buvo baisūs, tačiau technologiniai pataisymai iš esmės veikė.
Daugelis kibernetinio saugumo specialistų mano, kad dirbtinio intelekto klaidų armagedonas gali vystytis panašiai, tačiau sėkmingai pataisant tūkstančius pažeidžiamumų visame pasaulyje programinei įrangai reikės milžiniškų pastangų.
Aukščiausi Baltieji rūmai, įskaitant Nacionalinį kibernetinio saugumo direktorių Seaną Cairncrossą, skuba spręsti „Mythos“ ir kitų modelių keliamą grėsmę, stengiasi nustatyti vyriausybės silpnąsias vietas ir koordinuoti privačiojo sektoriaus atsaką.
Investuotojai nerimauja, kad šie pokyčiai gali apversti programinės įrangos pramonę aukštyn kojomis, o kibernetinio saugumo bendrovių akcijų vertė praėjusią savaitę krito.
Dauguma bendrovių vis geriau taiso kritines klaidas, tačiau dirbtinis intelektas didina pranešimų apie klaidas skaičių, o visko taisymas užtrunka ilgiau, teigia „HackerOne“, kuri padeda įmonėms atrinkti klaidų pranešimus. Klaidų pranešimų skaičius išaugo 76 %, palyginti su praėjusiais metais, o vidutinis klaidos ištaisymo laikas tuo pačiu laikotarpiu išaugo nuo 160 dienų iki 230 dienų, teigia bendrovė.
Bendrovės taip pat nerimauja, kad anksčiau ignoruojami technologijų produktai dabar gali tapti taikiniais ir kad, skirtingai nei technologijų gigantai, bendrovės ar programinės įrangos kūrėjai, kuriantys šiuos mažiau žinomus produktus, gali neturėti išteklių valdyti taisymų antplūdžio.
„Bus daug lengviau atakuoti atsitiktinius infrastruktūros elementus, kurių anksčiau niekas nepuolė“, – teigė Thomas Ptacekas, saugumo tyrėjas, debesų kompiuterijos bendrovės „Fly.io“ vadovas.“ [1]
1. AI Discovery of Coding Bugs Risks Overwhelming Developers.McMillan, Robert; Cutter, Chip. Wall Street Journal, Eastern edition; New York, N.Y.. 14 Apr 2026: B1.
Komentarų nėra:
Rašyti komentarą