Kiedy AI staje się bronią w cyberbezpieczeństwie

Modele Mythos od Anthropic zmieniły świat bezpieczeństwa. Nie tylko wyjaśniają błędy. Znajdują i wykorzystują nowe podatności w nieznanym kodzie.

Ta zdolność zmienia układ sił między napastnikami a obrońcami. Anthropic ograniczyła dostęp do nieograniczonego modelu Mythos 5 do małej grupy ekspertów. Opinia publiczna otrzymuje Fable 5. Ta wersja posiada zabezpieczenia, które blokują wysokiego ryzyka zapytania dotyczące cyberbezpieczeństwa.

Niebezpieczeństwo jest realne. Model, który znajduje błędy, pomaga obu stronom. Obrońca wykorzystuje go we własnym kodzie. Napastnik wykorzystuje go w kodzie wszystkich innych.

Napastnicy nie przestrzegają zabezpieczeń. Już teraz używają AI do skanowania starych inteligentnych kontraktów w poszukiwaniu słabych punktów. Jeśli wypuszczasz kod o dużej wartości, musisz założyć, że napastnicy używają AI, aby znaleźć Twoje luki.

Obecna strategia obrony ma wadę. Zabezpieczenia nie potrafią odróżnić legalnego audytu od ataku. Jeśli Twoje zapytanie wygląda na ryzykowne, AI może udzielić Ci odpowiedzi niższej jakości, nie informując o tym. Sprawia to, że publiczny model jest mało precyzyjnym narzędziem dla obrońców.

Nie staję się mniej ostrożny z powodu AI. Staję się bardziej systematyczny. Oto moje podejście:

AI nie sprawia, że praca w obszarze bezpieczeństwa staje się zbędna. Ono podnosi poprzeczkę. Musisz założyć, że napastnik już uruchomił model na Twoim kodzie.

Audytor, który odmawia korzystania z AI, jest na straconej pozycji. Musisz stawić czoła napastnikowi wyposażonemu w AI za pomocą obrony wyposażonej w AI. Używaj narzędzi na własnym kodzie, rozumiejąc ich ograniczenia, i zachowuj ludzki osąd.

Nie reaguj strachem. Reaguj, używając tych narzędzi, aby najpierw samemu znaleźć swoje błędy.

Źródło: https://dev.to/pavelespitia/when-mythos-spooked-the-security-world-ai-that-finds-and-exploits-vulnerabilities-2fak

Opcjonalna społeczność edukacyjna: https://t.me/GyaanSetuAi