Model AI Anthropic wykrywa luki zero-day w systemach i przeglądarkach: reakcja sektora finansowego
Nowa wersja modelu Claude Mythos Preview od Anthropic jest w stanie samodzielnie wykrywać nieznane luki w systemach operacyjnych i przeglądarkach internetowych, a także tworzyć ekspluaty do ich wykorzystania. Wywołało to obawy wśród brytyjskich regulatorów finansowych, gdzie władze koordynują działania mające na celu ocenę zagrożeń dla infrastruktury krytycznej.
Techniczne możliwości modelu
Claude Mythos Preview, zaprezentowana 7 kwietnia, demonstruje zdolność analizy kodu i znajdowania luk typu zero-day. Model przeszedł testy na głównych platformach, w tym popularnych systemach operacyjnych i przeglądarkach, gdzie zidentyfikowano tysiące błędów. Do osiągnięć należy wykrycie i naprawa 27-letniego błędu w OpenBSD.
Firma nie udostępniła modelu szerokiej publiczności, ograniczając się do programu Project Glasswing dla wybranych organizacji. Decyzja ta wynika z potencjału modelu do generowania działających eksplotów na żądanie, w tym wieloetapowych ataków omijających zabezpieczenia.
Przyczyny takiego podejścia tkwią w ewolucji AI w zakresie cyberbezpieczeństwa. Tradycyjne metody poszukiwania luk polegają na pracy ręcznej ekspertów, co ogranicza skalę. AI przyspiesza proces, automatyzując analizę i syntezę ataków, ale zwiększa ryzyko nadużyć.
Reakcja regulatorów i banków
Bank Anglii zainicjował pilne spotkania z Ministerstwem Finansów, Urzędem ds. Regulacji Finansowej, Narodowym Centrum Cyberbezpieczeństwa oraz przedstawicielami sektora bankowego. Omawiane są środki ochrony infrastruktury IT, szczególnie narażonej ze względu na połączenie systemów legacy z nowoczesnymi platformami.
Sektor finansowy jest szczególnie podatny na ryzyka: stare systemy często zawierają niepoprawione błędy, a AI może szybko skalować ataki. W USA i Kanadzie podobne konsultacje już prowadzone są z dużymi bankami i ubezpieczycielami.
- Kluczowi uczestnicy spotkań: Bank Anglii, Ministerstwo Finansów Wielkiej Brytanii, regulatory finansowe.
- Cele dyskusji: Ocena zagrożeń, opracowanie protokołów monitoringu.
- Planowane kroki: Informowanie banków i giełd w ciągu najbliższych tygodni.
- Kontekst globalny: Podobne działania w USA i Kanadzie.
Konsekwencje dla branży cyberbezpieczeństwa
Pojawienie się takich modeli zmienia równowagę w cyberbezpieczeństwie. Z jednej strony pomagają one programistom szybciej łatać dziury; z drugiej – obniżają próg wejścia dla przestępców. Banki muszą inwestować w aktualizację infrastruktury i zautomatyzowane systemy wykrywania.
Eksperci zauważają, że szybkość generowania eksplotów wyprzedza łatanie oprogramowania. To stymuluje przejście do architektur zero-trust i segmentacji sieci. W dłuższej perspektywie AI może stać się standardem w red teamingu, ale wymaga ścisłej kontroli dostępu.
Ogólny kontekst: rynek narzędzi opartych na AI do testów penetracyjnych rośnie o 25% rocznie. Firmy takie jak Anthropic balansują między innowacjami a odpowiedzialnością, ograniczając rozpowszechnianie potężnych modeli.
Co ważne
- Model Claude Mythos Preview znajduje luki zero-day w dowolnych systemach i przeglądarkach, generując ekspluaty.
- Brytyjscy regulatorzy finansowi koordynują ochronę infrastruktury krytycznej.
- Ryzyka dla banków: przestarzałe systemy i przyspieszenie ataków przez AI.
- Ograniczony dostęp poprzez Project Glasswing minimalizuje zagrożenia.
- Globalny wpływ: podobne dyskusje w USA i Kanadzie.
— Editorial Team
Brak komentarzy.