Αρχική Ειδήσεις Project Glasswing: Διασφάλιση κρίσιμου λογισμικού για την εποχή της τεχνητής νοημοσύνης

Project Glasswing: Διασφάλιση κρίσιμου λογισμικού για την εποχή της τεχνητής νοημοσύνης

Από
Νίκος Παπαδόπουλος
-
21
0

Εντοπισμός τρωτών σημείων και εκμεταλλεύσεων με το Claude Mythos Preview

Τις τελευταίες εβδομάδες, χρησιμοποιήσαμε το Claude Mythos Preview για να εντοπίσουμε χιλιάδες ευπάθειες μηδενικής ημέρας (δηλαδή ελαττώματα που ήταν προηγουμένως άγνωστα στους προγραμματιστές του λογισμικού), πολλά από αυτά κρίσιμα, σε κάθε σημαντικό λειτουργικό σύστημα και σε κάθε μεγάλο πρόγραμμα περιήγησης ιστού, μαζί με μια σειρά από άλλα σημαντικά κομμάτια λογισμικού.

Σε μια ανάρτηση στο ιστολόγιό μας Frontier Red Team, παρέχουμε τεχνικές λεπτομέρειες για ένα υποσύνολο αυτών των τρωτών σημείων που έχουν ήδη διορθωθεί και, σε ορισμένες περιπτώσεις, τους τρόπους που βρήκε το Mythos Preview για να τα εκμεταλλευτεί. Μπόρεσε να εντοπίσει σχεδόν όλα αυτά τα τρωτά σημεία – και να αναπτύξει πολλά σχετικά πλεονεκτήματα – εντελώς αυτόνομα, χωρίς ανθρώπινη διεύθυνση. Ακολουθούν τρία παραδείγματα:

  • Το Mythos Preview βρήκε μια ευπάθεια 27 ετών στο OpenBSD, το οποίο έχει τη φήμη ενός από τα πιο σκληρυμένα λειτουργικά συστήματα στον κόσμο και χρησιμοποιείται για την εκτέλεση τείχη προστασίας και άλλης κρίσιμης υποδομής.
  • Ανακάλυψε επίσης μια ευπάθεια ηλικίας 16 ετών στο FFmpeg – το οποίο χρησιμοποιείται από αναρίθμητα κομμάτια λογισμικού για την κωδικοποίηση και την αποκωδικοποίηση βίντεο – σε μια σειρά κώδικα που τα αυτοματοποιημένα εργαλεία δοκιμών είχαν χτυπήσει πέντε εκατομμύρια φορές χωρίς να αντιληφθεί ποτέ το πρόβλημα.
  • Το μοντέλο βρήκε αυτόνομα και συνέδεσε πολλά τρωτά σημεία στον πυρήνα του Linux – το λογισμικό που τρέχει τους περισσότερους διακομιστές του κόσμου – για να επιτρέψει σε έναν εισβολέα να κλιμακωθεί από την πρόσβαση του απλού χρήστη στον πλήρη έλεγχο του μηχανήματος.

Έχουμε αναφέρει τα παραπάνω τρωτά σημεία στους συντηρητές του σχετικού λογισμικού και έχουν πλέον επιδιορθωθεί όλα. Για πολλά άλλα τρωτά σημεία, παρέχουμε ένα κρυπτογραφικό κατακερματισμό των λεπτομερειών σήμερα (δείτε το ιστολόγιο της Red Team) και θα αποκαλύψουμε τις λεπτομέρειες αφού υπάρξει μια επιδιόρθωση.

Τα σημεία αναφοράς αξιολόγησης όπως το CyberGym ενισχύουν τη σημαντική διαφορά μεταξύ του Mythos Preview και του επόμενου καλύτερου μοντέλου μας, του Claude Opus 4.6:

Αναπαραγωγή ευπάθειας στον κυβερνοχώρο

Εκτός από τη δική μας δουλειά, πολλοί από τους συνεργάτες μας χρησιμοποιούν ήδη το Claude Mythos Preview για αρκετές εβδομάδες. Αυτό είναι αυτό που βρήκαν:

«Οι δυνατότητες AI έχουν ξεπεράσει ένα όριο που αλλάζει ριζικά την επείγουσα ανάγκη που απαιτείται για την προστασία ζωτικής σημασίας υποδομής από απειλές στον κυβερνοχώρο και δεν υπάρχει επιστροφή. Η θεμελιώδης εργασία μας με αυτά τα μοντέλα έδειξε ότι μπορούμε να εντοπίσουμε και να διορθώσουμε ευπάθειες ασφαλείας σε υλικό και λογισμικό με ρυθμό και κλίμακα που προηγουμένως ήταν αδύνατη. Αυτή είναι μια βαθιά αλλαγή και ένα σαφές μήνυμα ότι οι παλιοί τρόποι σκλήρυνσης των συστημάτων δεν επαρκούν πλέον. Οι πάροχοι τεχνολογίας πρέπει να υιοθετήσουν επιθετικά νέες προσεγγίσεις τώρα και οι πελάτες πρέπει να είναι έτοιμοι να αναπτύξουν. Αυτός είναι ο λόγος για τον οποίο η Cisco εντάχθηκε στο Project Glasswing – αυτή η δουλειά είναι πολύ σημαντική και πολύ επείγουσα για να γίνει μόνη της.

“Στο AWS, χτίζουμε άμυνες πριν εμφανιστούν απειλές, από το προσαρμοσμένο μας πυρίτιο μέχρι τη στοίβα τεχνολογίας. Η ασφάλεια δεν είναι μια φάση για εμάς. είναι συνεχές και ενσωματωμένο σε ό,τι κάνουμε. Οι ομάδες μας αναλύουν πάνω από 400 τρισεκατομμύρια ροές δικτύου κάθε μέρα για απειλές και η τεχνητή νοημοσύνη είναι κεντρικός στην ικανότητά μας να αμυνόμαστε σε κλίμακα. Δοκιμάζουμε το Claude Mythos Preview στις δικές μας λειτουργίες ασφαλείας, εφαρμόζοντάς το σε κρίσιμες βάσεις κωδικών, όπου μας βοηθά ήδη να ενισχύσουμε τον κώδικά μας. Προσφέρουμε βαθιά τεχνογνωσία σε θέματα ασφάλειας στη συνεργασία μας με την Anthropic και συμβάλλουμε στη βελτίωση της προεπισκόπησης Claude Mythos, ώστε ακόμη περισσότεροι οργανισμοί να μπορούν να προωθήσουν το πιο φιλόδοξο έργο τους με ασφάλεια που θέτει τα πρότυπα.â€

“Καθώς εισερχόμαστε σε μια φάση όπου η κυβερνοασφάλεια δεν δεσμεύεται πλέον από καθαρά ανθρώπινη ικανότητα, η ευκαιρία να χρησιμοποιηθεί η τεχνητή νοημοσύνη υπεύθυνα για τη βελτίωση της ασφάλειας και τη μείωση του κινδύνου σε κλίμακα είναι άνευ προηγουμένου. Η συμμετοχή στο Project Glasswing, με πρόσβαση στην προεπισκόπηση Claude Mythos, μας επιτρέπει να εντοπίζουμε και να μετριάζουμε τον κίνδυνο έγκαιρα και να επεκτείνουμε τις λύσεις ασφάλειας και ανάπτυξης, ώστε να προστατεύουμε καλύτερα τους πελάτες και τη Microsoft. Όταν δοκιμάστηκε έναντι του CTI-REALM, του σημείου αναφοράς ασφαλείας ανοιχτού κώδικα, η προεπισκόπηση Claude Mythos έδειξε σημαντικές βελτιώσεις σε σύγκριση με προηγούμενα μοντέλα. Ανυπομονούμε να συνεργαστούμε με την Anthropic και την ευρύτερη βιομηχανία για τη βελτίωση των αποτελεσμάτων ασφάλειας για όλους.â€

Ιγκόρ Τσιγκάνσκι

EVP Cybersecurity and Microsoft Research, Microsoft

Διαβάστε την ανακοίνωση

“Το παράθυρο μεταξύ της ανακάλυψης μιας ευπάθειας και της εκμετάλλευσης από έναν αντίπαλο έχει καταρρεύσει” αυτό που κάποτε χρειαζόταν μήνες τώρα συμβαίνει σε λίγα λεπτά με την τεχνητή νοημοσύνη. Η προεπισκόπηση Claude Mythos δείχνει τι είναι πλέον δυνατό για τους υπερασπιστές σε κλίμακα και οι αντίπαλοι αναπόφευκτα θα προσπαθήσουν να εκμεταλλευτούν τις ίδιες δυνατότητες. αναπτύξτε την τεχνητή νοημοσύνη, χρειάζεστε ασφάλεια. Γι’ αυτό το CrowdStrike είναι μέρος αυτής της προσπάθειας από την πρώτη μέρα

“Στο παρελθόν, η τεχνογνωσία σε θέματα ασφάλειας ήταν πολυτέλεια που προορίζεται για οργανισμούς με μεγάλες ομάδες ασφαλείας. Οι συντηρητές ανοιχτού κώδικα – των οποίων το λογισμικό υποστηρίζει μεγάλο μέρος της κρίσιμης υποδομής του κόσμου – έχουν αφεθεί ιστορικά να καταλάβουν μόνοι τους την ασφάλεια. Το λογισμικό ανοιχτού κώδικα αποτελεί τη συντριπτική πλειοψηφία του κώδικα στα σύγχρονα συστήματα, συμπεριλαμβανομένων των ίδιων των συστημάτων που χρησιμοποιούν οι πράκτορες τεχνητής νοημοσύνης για τη σύνταξη νέου λογισμικού. Παρέχοντας στους συντηρητές αυτών των κρίσιμων βάσεων κώδικα ανοιχτού κώδικα πρόσβαση σε μια νέα γενιά μοντέλων τεχνητής νοημοσύνης που μπορούν προληπτικά να εντοπίσουν και να διορθώσουν ευπάθειες σε κλίμακα, το Project Glasswing προσφέρει μια αξιόπιστη διαδρομή για την αλλαγή αυτής της εξίσωσης. Αυτός είναι ο τρόπος με τον οποίο η επαυξημένη με AI ασφάλεια μπορεί να γίνει ένας αξιόπιστος βοηθός για κάθε συντηρητή, όχι μόνο για εκείνους που μπορούν να αντέξουν οικονομικά τις ακριβές ομάδες ασφαλείας.â€

â€œΗ προώθηση της κυβερνοασφάλειας και της ανθεκτικότητας του χρηματοπιστωτικού συστήματος είναι κεντρική στην αποστολή της JPMorganChase και πιστεύουμε ότι ο κλάδος είναι ισχυρότερος όταν κορυφαία ιδρύματα συνεργάζονται για κοινές προκλήσεις. Το Project Glasswing παρέχει μια μοναδική, πρώιμη ευκαιρία για την αξιολόγηση εργαλείων τεχνητής νοημοσύνης επόμενης γενιάς για αμυντική ασφάλεια στον κυβερνοχώρο σε κρίσιμες υποδομές, τόσο με τους δικούς μας όρους όσο και δίπλα σε αξιοσέβαστους ηγέτες τεχνολογίας. Θα ακολουθήσουμε μια αυστηρή, ανεξάρτητη προσέγγιση για να καθορίσουμε πώς θα προχωρήσουμε και πού μπορούμε να βοηθήσουμε. Η πρωτοβουλία της Anthropic αντικατοπτρίζει το είδος της προοδευτικής, συλλογικής προσέγγισης που απαιτεί αυτή τη στιγμή.â€

Πάλι Πατ

Chief Information Security Officer, JPMorganChase

“Google είναι στην ευχάριστη θέση να βλέπει αυτή τη δικλαδική πρωτοβουλία κυβερνοασφάλειας να συγκεντρώνεται και να κάνει το Mythos Preview διαθέσιμο στους συμμετέχοντες μέσω της Vertex AI. Ήταν πάντα κρίσιμο να συνεργαστεί η βιομηχανία σε αναδυόμενα ζητήματα ασφάλειας, είτε πρόκειται για μετακβαντική κρυπτογραφία, υπεύθυνη αποκάλυψη μηδενικής ημέρας, ασφαλές λογισμικό ανοιχτού κώδικα ή άμυνα έναντι επιθέσεων που βασίζονται σε τεχνητή νοημοσύνη. Από καιρό πιστεύαμε ότι η τεχνητή νοημοσύνη θέτει νέες προκλήσεις και ανοίγει νέες ευκαιρίες στην άμυνα στον κυβερνοχώρο, γι’ αυτό έχουμε δημιουργήσει εργαλεία με τεχνητή νοημοσύνη, όπως το Big Sleep και το CodeMender, για να βρούμε και να διορθώσουμε κρίσιμα ελαττώματα λογισμικού. Θα συνεχίσουμε να επενδύουμε στην κορυφαία μας πλατφόρμα κυβερνοασφάλειας και σε μια κουλτούρα που επικεντρώνεται στην προστασία των χρηστών, των πελατών, του οικοσυστήματος και της εθνικής ασφάλειας.â€

“Τις τελευταίες εβδομάδες, είχαμε πρόσβαση στο μοντέλο Claude Mythos Preview, χρησιμοποιώντας το για να εντοπίσουμε πολύπλοκα τρωτά σημεία που τα μοντέλα προηγούμενης γενιάς έχασαν εντελώς. Αυτό δεν αλλάζει μόνο το παιχνίδι για την εύρεση προηγουμένως κρυμμένων τρωτών σημείων, αλλά σηματοδοτεί επίσης μια επικίνδυνη αλλαγή όπου οι επιτιθέμενοι μπορούν σύντομα να βρουν ακόμη περισσότερα τρωτά σημεία zero-day και να αναπτύξουν εκμεταλλεύσεις πιο γρήγορα από ποτέ. Είναι σαφές ότι αυτά τα μοντέλα πρέπει να βρίσκονται στα χέρια των κατόχων ανοιχτού κώδικα και των υπερασπιστών παντού για να βρουν και να διορθώσουν αυτά τα τρωτά σημεία πριν αποκτήσουν πρόσβαση οι εισβολείς. Ίσως ακόμη πιο σημαντικό: όλοι πρέπει να προετοιμαστούν για επιτιθέμενους με τη βοήθεια AI. Θα υπάρξουν περισσότερες επιθέσεις, πιο γρήγορες επιθέσεις και πιο εξελιγμένες επιθέσεις. Τώρα είναι η ώρα να εκσυγχρονίσουμε τις στοίβες της κυβερνοασφάλειας παντού. Επαινούμε την Anthropic για τη συνεργασία με τη βιομηχανία για να διασφαλίσει ότι αυτές οι ισχυρές ικανότητες δίνουν προτεραιότητα στην άμυνα.â€

Οι ισχυρές δυνατότητες στον κυβερνοχώρο του Claude Mythos Preview είναι αποτέλεσμα των ισχυρών δεξιοτήτων κωδικοποίησης και συλλογιστικής που διαθέτει. Για παράδειγμα, όπως φαίνεται στα αποτελέσματα αξιολόγησης παρακάτω, το μοντέλο έχει τις υψηλότερες βαθμολογίες από οποιοδήποτε μοντέλο που έχει αναπτυχθεί ακόμη σε μια ποικιλία εργασιών κωδικοποίησης λογισμικού.

Mythos Preview χωρίς εργαλεία
Mythos Preview με εργαλεία

Περισσότερες πληροφορίες για τις δυνατότητες του μοντέλου, τις ιδιότητες ασφαλείας του και τα γενικά χαρακτηριστικά του μπορείτε να βρείτε στην κάρτα συστήματος Claude Mythos Preview.

Δεν σκοπεύουμε να κάνουμε το Claude Mythos Preview γενικά διαθέσιμο, αλλά ο τελικός μας στόχος είναι να επιτρέψουμε στους χρήστες μας να αναπτύξουν με ασφάλεια μοντέλα κλάσης Mythos σε κλίμακα – για σκοπούς κυβερνοασφάλειας, αλλά και για τα μυριάδες άλλα οφέλη που θα αποφέρουν τέτοια μοντέλα υψηλής ικανότητας. αποτελέσματα Σχεδιάζουμε να λανσάρουμε νέες διασφαλίσεις με ένα επερχόμενο μοντέλο Claude Opus, επιτρέποντάς μας να τις βελτιώσουμε και να τις βελτιώσουμε με ένα μοντέλο που δεν ενέχει το ίδιο επίπεδο κινδύνου με το Mythos Preview.3.

Σχέδια για το Project Glasswing

Η σημερινή ανακοίνωση είναι η αρχή μιας μακροπρόθεσμης προσπάθειας. Για να είναι επιτυχής, θα απαιτηθεί ευρεία συμμετοχή από όλη την τεχνολογική βιομηχανία και όχι μόνο.

Οι συνεργάτες του Project Glasswing θα λάβουν πρόσβαση στο Claude Mythos Preview για να βρουν και να διορθώσουν τρωτά σημεία ή αδυναμίες στα θεμελιώδη συστήματα τους – συστήματα που αντιπροσωπεύουν ένα πολύ μεγάλο μέρος της κοινής επιφάνειας κυβερνοεπιθέσεων στον κόσμο. Αναμένουμε ότι αυτή η εργασία θα επικεντρωθεί σε εργασίες όπως εντοπισμός τοπικών τρωτών σημείων, έλεγχος μαύρου κουτιού δυαδικών δοκιμών τελικών σημείων και έλεγχος δυαδικών σημείων ασφαλείας.

Η δέσμευση της Anthropic για 100 εκατομμύρια δολάρια σε πιστώσεις χρήσης μοντέλου στο Project Glasswing και σε άλλους συμμετέχοντες θα καλύψει σημαντική χρήση σε όλη αυτή την προεπισκόπηση της έρευνας. Στη συνέχεια, το Claude Mythos Preview θα είναι διαθέσιμο στους συμμετέχοντες με 25 $/125 $ ανά εκατομμύριο διακριτικά εισόδου/εξόδου (οι συμμετέχοντες μπορούν να έχουν πρόσβαση στο μοντέλο στο Claude API, στο Amazon Bedrock, στο Google Cloud’s Vertex AI και στο Microsoft Foundry).

Εκτός από τη δέσμευσή μας για πιστώσεις χρήσης μοντέλου, έχουμε δωρίσει 2,5 εκατομμύρια $ στο Alpha-Omega και το OpenSSF μέσω του Linux Foundation και 1,5 εκατομμύρια $ στο Apache Software Foundation για να επιτρέψουμε στους συντηρητές λογισμικού ανοιχτού κώδικα να ανταποκριθούν σε αυτό το μεταβαλλόμενο τοπίο (οι συντηρητές που ενδιαφέρονται για πρόσβαση μπορούν να υποβάλουν αίτηση μέσω του προγράμματος Claude for Open Source).

Σκοπεύουμε να αυξηθεί το εύρος αυτής της εργασίας και να συνεχιστεί για πολλούς μήνες, και θα μοιραστούμε όσα περισσότερα μπορούμε, ώστε άλλοι οργανισμοί να μπορούν να εφαρμόσουν τα μαθήματα για τη δική τους ασφάλεια. Οι εταίροι θα ανταλλάσσουν πληροφορίες και βέλτιστες πρακτικές, στο βαθμό που είναι σε θέση, μεταξύ τους. εντός 90 ημερών, η Anthropic θα αναφέρει δημόσια όσα μάθαμε, καθώς και τις ευπάθειες που επιδιορθώθηκαν και τις βελτιώσεις που έγιναν που μπορούν να αποκαλυφθούν. Θα συνεργαστούμε επίσης με κορυφαίους οργανισμούς ασφαλείας για να δημιουργήσουμε ένα σύνολο πρακτικών συστάσεων για το πώς θα πρέπει να εξελίσσονται οι πρακτικές ασφαλείας στην εποχή της τεχνητής νοημοσύνης. Αυτό θα περιλαμβάνει ενδεχομένως:

  • Διαδικασίες αποκάλυψης ευπάθειας.
  • Διαδικασίες ενημέρωσης λογισμικού.
  • Ασφάλεια ανοιχτού κώδικα και εφοδιαστικής αλυσίδας.
  • Κύκλος ζωής ανάπτυξης λογισμικού και πρακτικές ασφαλούς σχεδιασμού.
  • Πρότυπα για ρυθμιζόμενες βιομηχανίες.
  • Κλιμάκωση διαλογής και αυτοματισμός. και
  • Αυτοματοποίηση επιδιόρθωσης.

Η Anthropic ήταν επίσης σε συνεχείς συζητήσεις με αξιωματούχους της κυβέρνησης των ΗΠΑ σχετικά με το Claude Mythos Preview και τις επιθετικές και αμυντικές δυνατότητές του στον κυβερνοχώρο. Όπως αναφέραμε παραπάνω, η διασφάλιση της υποδομής ζωτικής σημασίας είναι κορυφαία προτεραιότητα εθνικής ασφάλειας για τις δημοκρατικές χώρες. σε αυτά τα καθήκοντα.

Ελπίζουμε ότι το Project Glasswing μπορεί να κάνει μεγαλύτερη προσπάθεια στη βιομηχανία και στον δημόσιο τομέα, με όλα τα μέρη να βοηθούν στην αντιμετώπιση των μεγαλύτερων ερωτημάτων σχετικά με τον αντίκτυπο των ισχυρών μοντέλων στην ασφάλεια. Προσκαλούμε άλλα μέλη του κλάδου της τεχνητής νοημοσύνης να συμμετάσχουν μαζί μας για να βοηθήσουν στον καθορισμό των προτύπων για τον κλάδο. Μεσοπρόθεσμα, ένας ανεξάρτητος φορέας τρίτου μέρους – που μπορεί να συγκεντρώσει οργανισμούς ιδιωτικού και δημόσιου τομέα – μπορεί να είναι το ιδανικό σπίτι για συνεχή εργασία σε αυτά τα μεγάλης κλίμακας έργα κυβερνοασφάλειας.

ΠΑΡΟΜΟΙΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΔΗΜΙΟΥΡΓΟ