## Narzędzia AI do bezpieczeństwa oprogramowania są teraz tanie i powszechnie dostępne, zmieniając podejście hakerów do wyszukiwania luk
Badacze pokazali, że potężne narzędzia AI używane do wyszukiwania błędów w oprogramowaniu nie są już zamknięte w tajnych laboratoriach — są dostępne dla każdego, kto ma kartę kredytową. Oznacza to, że zdolność do wykrywania krytycznych luk bezpieczeństwa w aplikacjach od bankowych po sieci społecznościowe staje się powszechna, potencjalnie zmieniając cyfrowy krajobraz bezpieczeństwa dla wszystkich.
Kiedy duża firma AI, Anthropic, zaprezentowała potężny system o nazwie 'Claude Mythos' do wyszukiwania luk w oprogramowaniu — słabych punktów, które mogą wykorzystać hakerzy — potraktowali go jak niebezpieczną tajemnicę. Udostępnili go tylko wybranym dużym firmom technologicznym i urzędnikom rządowym, ostrzegając, że jest zbyt ryzykowny do publicznego użytku. Pomysł polegał na tym, że taki potężny narzędzie powinien mieć tylko nieliczne starannie sprawdzone organizacje. Ale nowe badanie od Vidoc Security zmienia to ostrzeżenie w publiczną rzeczywistość. Udowodnili, że podobne wyniki można uzyskać za pomocą modeli AI dostępnych online dla każdego, takich jak GPT-5.4 i Claude Opus, za mniej niż 30 dolarów za próbę.
Jak AI szuka błędów, niczym detektyw
Wyszukiwanie błędu w oprogramowaniu to jak poszukiwanie jedynego poluzowanego cegła w ogromnym, ciągle zmieniającym się murze. Tradycyjnie wymaga to wysoko wykwalifikowanych ludzkich ekspertów, którzy ręcznie przeglądają miliony linii kodu. AI zmienia ten proces. Może szybko przeskanować cały 'mur', oznaczając obszary, gdzie struktura wygląda podejrzanie. Badacze nie zadali AI prostego pytania; stworzyli wieloetapowy proces. Najpierw AI-planer dzielił duży plik oprogramowania na małe fragmenty. Następnie AI-detektor sprawdzał każdy fragment, wypatrując wzorców, które często prowadzą do błędów. Mógł też sprawdzać powiązane pliki, aby zobaczyć, czy problem w jednej części wpływa na inną.
- Przetestowali to na rzeczywistym, szeroko używanym oprogramowaniu: systemie wymiany plików, chronionym systemie operacyjnym, oprogramowaniu do przetwarzania wideo (takim jak to, które obsługuje wideo na YouTube) oraz bibliotekach do pracy z podpisami cyfrowymi (jak elektroniczne 'pieczęcie' na oficjalnych dokumentach).
- W ciągu kilku uruchomień publicznie dostępne modele AI z powodzeniem wykryły te same konkretne błędy, co ekskluzywny system Anthropic.
- Jeden model samodzielnie trzykrotnie ponownie odkrył znany błąd w chronionym systemie operacyjnym.
Przepaść między wykryciem a wykorzystaniem
Badanie wyjaśnia kluczową różnicę: wykrycie słabości to nie to samo co stworzenie broni. Prywatny model Anthropic nie tylko znalazł błąd; zrozumiał, jak napastnik może łączyć różne części luki, aby zdalnie przejąć kontrolę nad komputerem. Publicznie dostępne modele w tym teście znalazły dziurę, ale nie stworzyły automatycznie krok-po-kroku planu ataku. To właśnie jest obecna 'fosa' lub bariera. Tani i masowy element to wykrywanie. Drogi i skomplikowany element to przekształcenie odkrycia w niezawodną, zweryfikowaną poprawkę lub głęboko zrozumiałe zagrożenie.
Kluczowe wnioski
- Wykrywanie zdemokratyzowane: Początkowy, krytyczny krok wyszukiwania luk w oprogramowaniu jest teraz dostępny dzięki niedrogim, publicznym narzędziom AI.
- Bariera przesunięta: Przewaga nie polega już tylko na posiadaniu najlepszego modelu AI, lecz na ekspertyzie do weryfikacji znalezisk i zrozumienia ich rzeczywistego wpływu.
- Terminy przyspieszone: Chociaż Anthropic szacował, że podobne możliwości rozprzestrzenią się z innych laboratoriów za 6–18 miesięcy, to badanie pokazuje, że zdolność do wykrywania jest już tu.
Co to oznacza dla zwykłych ludzi?
Nie oznacza to, że hakerzy natychmiast zhakują wszystkie systemy. Ale oznacza, że narzędzia do wyszukiwania potencjalnych słabości w oprogramowaniu, które zasila twój online banking, konta w mediach społecznościowych i nawet usługi rządowe, stają się tańsze i powszechniejsze. Dla firm deweloperskich oprogramowania i zespołów bezpieczeństwa ciśnienie na przyspieszone wyszukiwanie i naprawianie błędów gwałtownie rośnie. Dla wszystkich pozostałych podkreśla to znaczenie używania aktualnego oprogramowania i silnych, unikalnych haseł, ponieważ podstawowe bezpieczeństwo cyfrowego krajobrazu jest sondowane intensywniej niż kiedykolwiek.
— Editorial Team