Индустрия кибербезопасности стоит на пороге возможной смены парадигмы после анонса Claude Mythos — специализированной возможности от компании Anthropic. И если технологический мир обычно встречает новые релизы ИИ с энтузиазмом, то реакция на Mythos оказалась иной: она пропитана чувством глубокой тревоги.
Конец безопасности человеческого масштаба?
В основе опасений лежит фундаментальное изменение в методах обнаружения уязвимостей программного обеспечения. Традиционно поиск «эксплойтов нулевого дня» — ранее неизвестных уязвимостей, которые хакеры используют для взлома систем — это медленный и кропотливый процесс. Он требует работы высококвалифицированных исследователей, которые вручную просматривают миллионы строк кода в поисках одной единственной ошибки.
Предварительный обзор Claude Mythos от Anthropic рисует новую реальность. Сообщается, что модель способна проактивно охотиться за этими критическими багами со скоростью и эффективностью, с которыми не сравнится ни одна команда специалистов по безопасности.
Это создает опасный дисбаланс в цифровой гонке вооружений:
— Исследователи-люди ограничены временем, усталостью и когнитивными способностями.
— Модели ИИ могут сканировать, анализировать и эксплуатировать уязвимости в масштабах и темпах, которые, по сути, бесконечны.
Хрупкий фундамент
Чтобы понять причины этой паники, нужно осознать текущее состояние интернета. Эксперты в области кибербезопасности давно предупреждают, что глобальная цифровая инфраструктура поразительно хрупка — её часто описывают как нечто, «держащееся на честном слове и синей изоленте».
Большая часть программного обеспечения, управляющего нашими банками, электросетями и коммуникациями, опирается на устаревшие базы кода, которые никогда не проектировались с расчетом на проверку продвинутым ИИ. Годами индустрия работала в оборонительном режиме, стараясь латать дыры быстрее, чем злоумышленники успеют их найти.
Дилемма «Переписать всё»
Появление Mythos ставит перед нами масштабный системный вопрос: будем ли мы вынуждены переписывать всё программное обеспечение?
Если ИИ сможет находить изъяны быстрее, чем люди смогут их исправлять, нынешний метод «латания дыр по мере поступления» может стать неэффективным. Это может привести к двум разным путям развития технологий:
- Эра автоматизированной защиты: использование ИИ для написания, тестирования и защиты кода в режиме реального времени, чтобы не отставать от угроз, создаваемых ИИ.
- Великая перезапись: фундаментальный переход от устаревшего кода к архитектурам, «безопасным по определению» (secure-by-design), устойчивость которых к эксплуатации доказана математически.
Суть страха заключается не только в том, что ИИ может находить баги, а в том, что он делает это быстрее, чем мы успеваем защищаться. Это может превратить существующие уязвимости в оружие еще до того, как мы вообще осознаем их наличие.
