- info@sec4good.cz
- V Olšinách 2300/75, 100 00 Praha 10
Ještě donedávna potřebovali útočníci týdny až měsíce na nalezení a zneužití bezpečnostních chyb. Nový jazykový model to dokáže v řádu hodin. To znamená zásadní zrychlení time-to-exploit, tedy doby mezi vznikem zranitelnosti a jejím zneužitím.
Mohlo by to působit jako zásadní zlom v přístupu ke kyberbezpečnosti. Situace je ale o trochu složitější.
Společnost Antrophic představila svůj nový jazykový model Claude Mythos Preview. Ten je schopný automaticky vyhledávat bezpečnostní chyby v softwaru a následně je zneužít k útoku. Právě proto se Antrophic rozhodl model prozatím zpřístupnit jen omezenému výčtu organizací.
Mythos Preview dokáže najít i velmi nenápadné a desítky let staré chyby v systémech, které byly doposud považovány za bezpečné (např. OpenBSD nebo FreeBSD). Model je úspěšný také v řetězení chyb, což při správné kombinaci umožňuje vytvořit útok i z nevýznamných zranitelností.
Hlavní změnou není jen schopnost modelu takové chyby nacházet, ale hlavně rychlý a automatizovaný proces jejich zneužití. Model je výrazně schopnější než jeho předchůdce. Opus 4.6 dokázal chyby identifikovat a opravovat, ale měl minimální schopnosti je zneužívat. Dalším posunem je, že k zadávání pokynů k nalézání zranitelností a následným útokům už nejsou potřeba expertní znalosti. Tím se výrazně rozšiřuje okruh lidí, kteří budou moct útoky provádět.
Dle Antrophicu model nebyl za tímto účelem vyvíjen, ale tyto schopnosti se objevily jako vedlejší efekt vyšší autonomie modelu a dokonalejšího programování. Vzhledem k závažnosti situace se firma spojila s významnými společnostmi, jako jsou Microsoft, Google, Apple, AWS a další, v projektu Glasswing. Dala jim přístup k novému modelu, aby mohly opravit chyby ve svých operačních systémech dříve než útočníci.
Zajímavý pohled na celou situaci přináší Stanislav Fort z Aisle, který se tématu věnuje ve svém článku. Vlnu pozdvižení kolem Mythos Preview jeho zjištění částečně korigují. Ukázalo se, že i malé levné open-source modely dokázaly detekovat řadu již známých zero day zranitelností. Zajímavé také je, že žádný model nebyl stabilně nejúspěšnější, ale jejich výsledky se lišily podle typu úkolu.
Výhodou Mythos Preview ale zůstává komplexnost a schopnost kreativního engineeringu, tedy sofistikovaného navrhování a realizace exploitů. Menší modely se jim ale dorovnávají v dílčích úlohách. Z toho vyplývá, že rozhodující není jeden typ modelu, ale navržení celého systému – od procházení kódu, přes detekci chyb a patchování až po tvorba exploitů.
Tento vývoj tedy mění přístup ke kybernetické bezpečnosti, ale patrně méně dramaticky, než se může zdát. Doba potřebná k identifikaci a zneužití zranitelností se zásadně zkracuje. Zároveň tyto schopnosti nejsou omezeny jen na velké vyspělé modely.
Tyto změny zvyšují nároky na testování bezpečnosti, které by měly organizace pravidelně provádět. Testování infrastruktury by nemělo být jednorázovou záležitostí, ale kontinuálním procesem. Stejně důležité je odstranění kritických chyb v krátkém čase, aby se předešlo jejich zneužití.
Pokud chcete mít přehled o tom, jak je vaše infrastruktura skutečně odolná proti útokům, podívejte se na naše služby penetračního testování.
