Quando l'IA diventa un'arma di cybersicurezza

I modelli Mythos di Anthropic hanno cambiato il mondo della sicurezza. Non si limitano a spiegare i bug. Trova e sfrutta nuove vulnerabilità in codice sconosciuto.

Questa capacità cambia l'equilibrio tra attaccanti e difensori. Anthropic ha limitato il modello Mythos 5 senza restrizioni a un piccolo gruppo di esperti. Il pubblico riceve Fable 5. Questa versione dispone di protezioni che bloccano prompt di cybersicurezza ad alto rischio.

Il pericolo è reale. Un modello che trova bug aiuta entrambe le parti. Un difensore lo usa sul proprio codice. Un attaccante lo usa sul codice di tutti gli altri.

Gli attaccanti non rispettano le protezioni. Usano l'IA per scansionare vecchi smart contract alla ricerca di debolezze proprio ora. Se rilasci codice di valore, devi dare per scontato che gli attaccanti usino l'IA per trovare i tuoi difetti.

L'attuale strategia di difesa presenta un difetto. Le protezioni non sanno distinguere un audit legittimo da un attacco. Se il tuo prompt sembra rischioso, l'IA potrebbe fornirti una risposta di qualità inferiore senza avvisarti. Questo rende il modello pubblico uno strumento poco efficace per i difensori.

Non divento meno prudente a causa dell'IA. Divento più sistematico. Ecco il mio approccio:

L'IA non rende obsoleto il lavoro sulla sicurezza. Alza l'asticella. Devi dare per scontato che l'attaccante abbia già eseguito un modello sul tuo codice.

Un auditor che rifiuta di usare l'IA è svantaggiato. Devi affrontare un attaccante equipaggiato con l'IA con una difesa equipaggiata con l'IA. Usa gli strumenti sul tuo codice, comprendine i limiti e mantieni il tuo giudizio umano.

Non rispondere con la paura. Rispondi usando questi strumenti per trovare prima i tuoi bug.

Fonte: https://dev.to/pavelespitia/when-mythos-spooked-the-security-world-ai-that-finds-and-exploits-vulnerabilities-2fak

Community di apprendimento opzionale: https://t.me/GyaanSetuAi