Branża cyberbezpieczeństwa stoi u progu możliwej zmiany paradygmatu wraz z ogłoszeniem Claude Mythos, niestandardowej funkcji firmy Anthropic. I choć świat technologii zwykle wita nowe premiery sztucznej inteligencji z entuzjazmem, reakcja na Mythos była inna: była przepojona poczuciem głębokiego niepokoju.
Koniec bezpieczeństwa na ludzką skalę?
Podstawą obaw jest fundamentalna zmiana w sposobie wykrywania luk w oprogramowaniu. Tradycyjnie znajdowanie „exploitów dnia zerowego” – wcześniej nieznanych luk w zabezpieczeniach wykorzystywanych przez hakerów do naruszania systemów – było powolnym i żmudnym procesem. Wymaga pracy wysoko wykwalifikowanych badaczy, którzy ręcznie przeglądają miliony linii kodu w poszukiwaniu pojedynczego błędu.
Zapowiedź Claude’a Mythosa z Anthropic maluje nową rzeczywistość. Mówi się, że model jest w stanie proaktywnie wyszukiwać te krytyczne błędy z szybkością i wydajnością, z jaką nie może się równać żaden zespół ds. bezpieczeństwa.
Stwarza to niebezpieczną nierównowagę w cyfrowym wyścigu zbrojeń:
– Ludzi odkrywcy są ograniczeni czasem, zmęczeniem i zdolnościami poznawczymi.
– Modele AI mogą skanować, analizować i wykorzystywać luki w zabezpieczeniach w skali i tempie, które są w zasadzie nieskończone.
Kruchy podkład
Aby zrozumieć przyczyny tej paniki, musisz zrozumieć obecny stan Internetu. Eksperci ds. cyberbezpieczeństwa od dawna ostrzegają, że globalna infrastruktura cyfrowa jest zdumiewająco delikatna – często opisywana jako „utrzymywana słowem honoru i niebieską taśmą”.
Duża część oprogramowania obsługującego nasze banki, sieci energetyczne i komunikację opiera się na starszych bazach kodów, które nigdy nie zostały zaprojektowane do przeglądu przez zaawansowaną sztuczną inteligencję. Przez lata branża działała w trybie defensywnym, próbując załatać dziury szybciej, niż atakujący są w stanie je znaleźć.
Dylemat „Napisz wszystko od nowa”.
Pojawienie się Mythos stawia ogromne pytanie systemowe: czy będziemy zmuszeni przepisać całe oprogramowanie?
Jeśli sztuczna inteligencja będzie w stanie znajdować błędy szybciej niż ludzie je naprawiać, obecna metoda łatania dziur na bieżąco może stać się nieskuteczna. Może to prowadzić do dwóch różnych ścieżek rozwoju technologii:
- Era zautomatyzowanych zabezpieczeń: używanie sztucznej inteligencji do pisania, testowania i zabezpieczania kodu w czasie rzeczywistym, aby nadążać za zagrożeniami stwarzanymi przez sztuczną inteligencję.
- Wielka przeróbka: zasadnicze przejście od starszego kodu do architektur bezpiecznych na etapie projektowania, których odporność na ataki została matematycznie potwierdzona.
Istota strachu polega nie tylko na tym, że sztuczna inteligencja może znaleźć błędy, ale także na tym, że robi to szybciej, niż jesteśmy w stanie się obronić. Może to wykorzystać istniejące luki w zabezpieczeniach, zanim w ogóle zdamy sobie sprawę z ich istnienia.
