Mozilla оголосила про важливе досягнення в області кібербезпеки: остання версія Firefox (версія 150) включає захист від 271 вразливості, виявлений завдяки ранньому доступу до системи Mythos Preview від компанії Anthropic.
Ця масштабна «зачистка» наголошує на зміні парадигми у забезпеченні безпеки програмного забезпечення. Оскільки моделі ІІ стають дедалі більше здатними виявляти глибоко приховані недоліки, гонка між захисниками програм і кіберзлочинцями входить у нову, високоризиковану фазу.
Зсув у бік ІІ: від ручного пошуку до автоматизованого виявлення
Протягом багатьох років пошук уразливостей у ПЗ будувався на двох підходах:
1. Автоматизоване тестування (наприклад, “фазинг”) для виявлення поширених помилок.
2. Ручні дослідження висококваліфікованих фахівців для пошуку складних логічних вад.
Історично склалося так, що найнебезпечніші баги — ті, що потребують глибокої людської інтуїції, було найважче виявити машинам. Це створювало високий «поріг входження» для зловмисників: пошук найбільш руйнівних експлойтів коштував мільйони доларів, витрачених на оплату праці експертів.
Однак, за словами технічного директора Firefox Боббі Холлі, ІІ руйнує цей бар’єр. Mythos Preview дозволяє використовувати автоматизовані методи, які потенційно можуть охопити весь простір багів, що викликають уразливості. Це означає, що «дорогі» баги, для пошуку яких раніше були потрібні елітні хакери, тепер стають доступними для виявлення штучним інтелектом.
«Програмний буткемп» для ери ІІ
Холлі описує цей момент як необхідний, але важкий «перехідний період». Він припускає, що невдовзі кожному програмному продукту доведеться пройти через масштабну переробку за допомогою ІІ, щоб усунути приховані помилки, які існували роками, але залишалися непоміченими.
«Кожному програмному забезпеченню доведеться пройти через цей перехід, тому що під поверхнею будь-якого коду приховано безліч багів, які тепер виявляються». – Боббі Холлі, технічний директор Firefox
Хоча Mozilla вдалося випередити події завдяки прямій співпраці з Anthropic, цей «потік багів» кидає серйозний виклик решті індустрії.
Проблема вразливості Open Source
У той час як великі корпорації, такі як Mozilla, можуть виділяти величезні інженерні ресурси на усунення цих виявлених ІІ дефектів, для екосистеми відкритого вихідного коду (open-source) назріває серйозний ризик.
Індустрія програмного забезпечення значною мірою спирається на open-source проекти, які найчастіше підтримуються невеликими групами волонтерів чи навіть одинаками. Це створює кілька критичних точок відмови:
– Дефіцит ресурсів: Малим проектам не вистачає фінансування чи персоналу, щоб виправити сотні багів одночасно.
– Ризик «занедбаного ПЗ»: Програми, що не мають підтримки, стають золотою житловою для атакуючих, які використовують ІІ для пошуку експлойтів.
– Розрив у можливостях: Зростає побоювання, що багаті компанії будуть використовувати ІІ для зміцнення власного захисту, тоді як фундаментальне безкоштовне ПЗ, на якому тримається світ, залишиться вразливим.
Як зазначив технічний директор Mozilla Раффі Крікоріан, базова економіка інтернету залишається незмінною: найважливіша інфраструктура часто підтримується безкоштовно, тоді як величезні корпорації будують на ній статки, не вносячи вкладу в її підтримку.
Висновок
Інтеграція ІІ в кібербезпеку – це палиця з двома кінцями: вона дає захисникам безпрецедентні інструменти для очищення коду, але також надає атакуючим «дорожню карту» для експлуатації раніше «невловимих» вад. Тепер перед індустрією стоїть масштабне скоординоване завдання: убезпечити цифровий фундамент до того, як можливості ІІ повністю перейдуть до рук зловмисників.
