Mozilla ogłosiła znaczący postęp w zakresie cyberbezpieczeństwa: najnowsza wersja Firefoxa (wersja 150) zawiera ochronę przed 271 lukami wykrytymi dzięki wcześniejszemu dostępowi do Mythos Preview firmy Anthropic.
Ta masowa czystka podkreśla zmianę paradygmatu w bezpieczeństwie oprogramowania. W miarę jak modele sztucznej inteligencji stają się coraz bardziej zdolne do odkrywania głęboko ukrytych wad, wyścig pomiędzy obrońcami oprogramowania a cyberprzestępcami wkracza w nową fazę wysokiego ryzyka.
Przejdź w stronę sztucznej inteligencji: od wyszukiwania ręcznego do automatycznego odkrywania
Od wielu lat poszukiwanie luk w oprogramowaniu opiera się na dwóch podejściach:
1. Testowanie automatyczne (np. fuzzing) w celu wykrycia typowych błędów.
2. Ręczne badania przeprowadzone przez wysoko wykwalifikowanych specjalistów w celu znalezienia skomplikowanych błędów logicznych.
Historycznie rzecz biorąc, najniebezpieczniejsze błędy — te wymagające głębokiej ludzkiej intuicji — były najtrudniejsze do wykrycia przez maszyny. Stworzyło to wysoką barierę wejścia dla atakujących: poszukiwanie najbardziej destrukcyjnych exploitów kosztowało miliony dolarów wydanych na pracę ekspertów.
Jednak według dyrektora technicznego Firefoksa, Bobby’ego Holleya, sztuczna inteligencja przełamuje tę barierę. Mythos Preview pozwala na wykorzystanie zautomatyzowanych metod, które mogą potencjalnie pokryć „całą przestrzeń” błędów powodujących podatności. Oznacza to, że sztuczna inteligencja może teraz wykryć kosztowne błędy, których znalezienie wcześniej wymagało elitarnych hakerów.
„Software Bootcamp” dla ery sztucznej inteligencji
Holly opisuje obecny moment jako konieczny, ale trudny „okres przejściowy”. Sugeruje, że wkrótce każde oprogramowanie będzie musiało zostać poddane gruntownym zmianom opartym na sztucznej inteligencji, aby wyeliminować ukryte błędy, które istniały od lat, ale pozostały niewykryte.
„Każde oprogramowanie będzie musiało przejść tę zmianę, ponieważ pod powierzchnią całego kodu kryje się wiele błędów, które można teraz wykryć”. — Bobby Holley, dyrektor techniczny Firefoksa
Chociaż Mozilla wyprzedziła konkurencję dzięki bezpośredniej współpracy z Anthropic, ta „zalew błędów” stanowi poważne wyzwanie dla reszty branży.
Problem z luką w zabezpieczeniach Open Source
Chociaż duże korporacje, takie jak Mozilla, mogą przeznaczyć ogromne zasoby inżynieryjne na naprawianie defektów wykrytych przez sztuczną inteligencję, istnieje poważne ryzyko dla ekosystemu open source.
Branża oprogramowania w dużej mierze opiera się na projektach typu open source, którymi często zarządzają małe grupy wolontariuszy, a nawet pojedyncze osoby. Tworzy to kilka krytycznych punktów awarii:
– Brak zasobów: Małym projektom brakuje funduszy lub personelu, aby naprawić setki błędów na raz.
– Ryzyko „porzuconego oprogramowania”: Nieobsługiwane programy stają się kopalnią złota dla atakujących, którzy wykorzystują sztuczną inteligencję do wyszukiwania exploitów.
– Luka w możliwościach: Rosną obawy, że zamożne firmy będą wykorzystywać sztuczną inteligencję do wzmacniania własnych systemów obronnych, podczas gdy podstawowe wolne oprogramowanie, na którym opiera się świat, pozostaje podatne na ataki.
Jak zauważył CTO Mozilli, Raffi Krikorian, podstawowa ekonomika Internetu pozostaje taka sama: infrastruktura krytyczna jest często utrzymywana za darmo, podczas gdy ogromne korporacje gromadzą na niej fortuny, nie przyczyniając się do jej utrzymania.
Wniosek
Włączenie sztucznej inteligencji do cyberbezpieczeństwa to miecz obosieczny: zapewnia obrońcom bezprecedensowe narzędzia do czyszczenia kodu, ale także zapewnia atakującym plan działania pozwalający wykorzystać wcześniej nieuchwytne wady. Branża stoi obecnie przed ogromnym, skoordynowanym wyzwaniem polegającym na zabezpieczeniu podstaw cyfrowych, zanim możliwości sztucznej inteligencji znajdą się całkowicie w rękach złośliwych podmiotów.
