Model AI Anthropic odhaluje zranitelnosti typu zero-day v operačních systémech a prohlížečích: reakce finančního sektoru
Nový model umělé inteligence Claude Mythos Preview od společnosti Anthropic je schopen samostatně detekovat neznámé zranitelnosti v operačních systémech a webových prohlížečích a také vyvíjet exploaty pro jejich využití. To vyvolalo obavy u britských finančních regulátorů, kde úřady koordinují úsilí o hodnocení rizik pro kritickou infrastrukturu.
Technické možnosti modelu
Claude Mythos Preview, představená 7. dubna, demonstruje schopnost analyzovat kód a nacházet zranitelnosti nultého dne. Model prošel testováním na hlavních platformách, včetně populárních OS a prohlížečů, kde odhalil tisíce chyb. Mezi úspěchy patří nalezení a odstranění 27leté chyby v OpenBSD.
Společnost neuvedla model do veřejného přístupu, omezila se na program Project Glasswing pro vybrané organizace. Toto rozhodnutí je podmíněno potenciálem modelu generovat funkční exploaty na požádání, včetně vícestupňových útoků s obejitím ochrany.
Důvody tohoto přístupu sahají k evoluci AI pro úkoly kyberbezpečnosti. Tradiční metody hledání zranitelností spoléhají na manuální práci expertů, což omezuje rozsah. AI proces urychluje automatizací analýzy a syntézy útoků, ale zvyšuje rizika zneužití.
Reakce regulátorů a bank
Bank of England iniciovala mimořádná setkání s Ministerstvem financí, Úřadem pro finanční regulaci, Národním centrem kyberbezpečnosti a zástupci bankovního sektoru. Probírají se opatření na ochranu IT infrastruktury, zejména zranitelné kvůli kombinaci legacy systémů a moderních platforem.
Finanční sektor je zvláště vystaven rizikům: staré systémy často obsahují neopravené chyby a AI může rychle škálovat útoky. Ve Spojených státech a Kanadě jsou podobné konzultace již probíhající s velkými bankami a pojišťovnami.
- Klíčové účastníci schůzek: Bank of England, Ministerstvo financí Velké Británie, finanční regulátoři.
- Cíle diskusí: Hodnocení hrozeb, vývoj protokolů monitorování.
- Plánované kroky: Informování bank a burz v příštích týdnech.
- Globální kontext: Podobná opatření ve Spojených státech a Kanadě.
Důsledky pro odvětví kyberbezpečnosti
Vznik takových modelů mění rovnováhu v kyberbezpečnosti. Na jedné straně pomáhají vývojářům rychleji zakrývat díry; na druhé snižují bariéru pro útočníky. Banky jsou nuceny investovat do aktualizace infrastruktury a automatizovaných systémů detekce.
Expertí poznamenávají, že rychlost generování exploitů předstihuje patchování softwaru. To stimuluje přechod k architekturám zero-trust a segmentaci sítí. V dlouhodobém horizontu může AI stát se standardem v red teamingu, ale vyžaduje přísnou kontrolu přístupu.
Obecný kontext: trh nástrojů založených na AI pro pentest roste o 25 % ročně. Společnosti jako Anthropic balancují mezi inovacemi a odpovědností, omezující šíření mocných modelů.
Co je důležité
- Model Claude Mythos Preview nachází zero-day v jakýchkoliv OS a prohlížečích, generujíc exploaty.
- Finanční regulátoři Velké Británie koordinují ochranu kritické infrastruktury.
- Rizika pro banky: zastaralé systémy a zrychlení útoků AI.
- Omezený přístup přes Project Glasswing minimalizuje hrozby.
- Globální dopad: podobné diskuze ve Spojených státech a Kanadě.
— Editorial Team
Zatím žádné komentáře.