Зниження витрат на безпеку підприємств за допомогою штучного інтелекту для виявлення вразливостей
Використання автоматизованого виявлення вразливостей AI в революції кібербезпеки
Зниження кількості експлойтів до нуля раніше вважалося нереальним завданням. Операційна доктрина ставила за мету зробити атаки такими дорогими, щоб лише суперники з безмежними бюджетами могли їх дозволити, таким чином, відлякуючи недбалих акули. Однак команда розробників Mozilla Firefox, використовуючи Claude Mythos Preview від Anthropic, кидає виклик цьому статус-кво.
Під час оцінки за допомогою Claude Mythos Preview команда Firefox знайшла та виправила 271 вразливість для випуску версії 150. Раніше співпраця з Anthropic на платформі Opus 4.6 забезпечила 22 критично важливі виправлення в версії 148. Виявлення сотень вразливостей одночасно є важким навантаженням на ресурси команди. Але в умовах жорсткого регуляторного середовища, зусилля щодо запобігання витокам даних або атак на програмне забезпечення виправдовують себе. Автоматичне сканування також знижує витрати; системи постійно перевіряють код із відомими базами загроз, що дозволяє компаніям скоротити витрати на залучення дорогих зовнішніх консультантів.
Інтеграція провідних моделей AI в існуючі інтеграційні конвеєри викликає значні витрати на обчислення. Підприємства повинні створювати захищені бази даних для управління контекстними вікнами, необхідними для обробки великих обсягів кодів, забезпечуючи сувору розділеність та захист інтелектуальної корпоративної логіки. Попередження «галюцинацій» моделі є обов’язковим. Помилкові спрацьовування безпеки витрачають дорогоцінні години людської праці. Тому випускна труба повинна перевіряти виходи моделі наявними інструментами статичного аналізу та фуззинг-результатами для підтвердження знахідок.
Автоматизоване тестування безпеки значною мірою покладається на динамічні методи аналізу, зокрема фуззинг, який виконують внутрішні команди “червоних команд”. Хоча фуззинг є надзвичайно ефективним, він має труднощі з певними ділянками кодової бази. Елітні дослідники безпеки долають ці обмеження, вручну аналізуючи вихідний код, щоб виявити логічні флукти. Цей ручний процес займає багато часу і обмежений наявністю елітних людських фахівців.
Інтеграція передових моделей усуває цей людський обмежник. Комп’ютери, що лише кілька місяців тому були нездатні до цього завдання, тепер перевершують себе в аналізі коду. Mythos Preview демонструє відповідність кращим світовим дослідникам безпеки. Інженерна команда вказала, що не знайшла жодної категорії чи складності дефекту, яку люди можуть виявити, а модель − ні. Не бачили також жодних багів, які не могли б знайти елітні людські дослідники.
Перехід до мов із безпечним керуванням пам’яттю, таких як Rust, надає захист для певних поширених класів вразливостей, але зупинка розвитку для заміни десятиліть коду C++ є фінансово невиправданою для більшості компаній. Автоматизовані інструменти логічного аналізу пропонують надзвичайно економічно ефективний метод для забезпечення безпеки старих кодових баз без витрат на повну модернізацію системи.
Велика різниця між тим, що можуть виявити машини, і тим, що люди, серйозно на користь атакуючих. Ворог може витратити місяці дорогої праці, щоб знайти одну слабкість. Закриття цього розриву виявлення робить ідентифікацію вразливостей дешевою, зменшуючи довгострокову перевагу атакуючих. Хоча перша хвиля ідентифікованих дефектів може здаватися страшною в короткостроковій перспективі, це є відмінною новиною для корпоративного захисту.
Постачальники важливого програмного забезпечення з виходом в інтернет мають команди, що прагнуть захистити користувачів. З прийняттям інших технологічних компаній подібних методів оцінки, стандартні основи програмної відповідальності зміняться. Якщо моделі можуть надійно знаходити логічні дефекти в кодовій базі, невикористання таких інструментів скоро може вважатися корпоративною недбалістю.
Важливо, що немає жодних ознак того, що ці системи винаходять абсолютно нові категорії атак, що суперечать поточному розумінню. Програмні застосування, такі як Firefox, розроблені модульно, щоб дозволити людське мислення про правильність. Програма складна, але не безмежно складна. Програмні дефекти мають обмежений характер.
Прийнявши розширені автоматизовані аудити, технологічні лідери можуть активно перебороти перманентні загрози. Початковий наплив даних вимагає інтенсивного інженерного фокусу та перегляду пріоритетів. Однак команди, які виконують необхідну роботу з усунення, знайшли позитивний фінал. Галузь дивиться в найближче майбутнє, де захисні команди матимуть вирішальну перевагу.
