Anthropic разом із провідними технологічними компаніями запустила ініціативу Project Glasswing — спробу використати найновіші можливості ШІ для захисту критично важливого програмного забезпечення, перш ніж ці ж можливості почнуть масово використовувати зловмисники.
Новий рівень загрози: ШІ, що знаходить і комбінує вразливості
Програмне забезпечення завжди мало баги та вразливості. У більшості випадків користувачі їх не помічають: помилки виправляють до того, як вони призводять до серйозних наслідків. Але інколи одна-єдина вразливість у широко використовуваному компоненті здатна масштабуватися до глобальної проблеми.
Традиційно пошук і виправлення таких вразливостей — повільний, дорогий і трудомісткий процес. Ситуація різко змінюється з появою великих мовних моделей, які вміють писати код на рівні найкращих розробників. Ті самі можливості, що дозволяють ШІ створювати якісний код, дають йому змогу:
- знаходити помилки в програмному забезпеченні;
- розробляти експлойти;
- комбінувати кілька «невинних» вразливостей у складні ланцюжки атак.
Нова модель Claude Mythos Preview, на якій базується Project Glasswing, не тренувалася спеціально для кібербезпеки — її оптимізували для роботи з кодом. Однак як побічний ефект вона досягла рівня професійного спеціаліста з безпеки в пошуку багів і виявилася здатною виконувати довгі, складні завдання, подібні до роботи досвідченого дослідника безпеки протягом цілого дня.
Ключова особливість — автономність: модель не просто знаходить окремі помилки, а вміє будувати з них послідовні ланцюжки з трьох, чотирьох, п’яти вразливостей, що в підсумку дають дуже витончені та небезпечні результати.
Чому потрібен контрольований доступ, а не публічний реліз
Ті самі можливості, які роблять модель потужним інструментом для захисту, можуть стати зброєю в руках зловмисників. Тому Claude Mythos Preview не планують широко відкривати для публіки.
Водночас розробники визнають: ще потужніші моделі з’являтимуться й надалі — як у них, так і в інших компаній. Це створює потребу в системному плані реагування: як використати нові можливості ШІ для посилення захисту, а не для ескалації атак.
Project Glasswing якраз і покликаний дати відповідь на це питання: надати доступ до передових моделей тим, хто відповідає за безпеку критичного коду, раніше, ніж ці інструменти стануть доступними широкому колу користувачів.
Як працює Project Glasswing: партнерства та реальні знахідки
У межах ініціативи Anthropic об’єднує зусилля з компаніями, що стоять за найбільш критичним програмним забезпеченням у світі. Серед партнерів — Amazon Web Services, Apple, Google, Microsoft, NVIDIA, Cisco, Broadcom, CrowdStrike, JPMorgan Chase, Linux Foundation, Palo Alto Networks та інші.
Ідея проста: дати розробникам і командам безпеки «форою» — доступ до інструментів, які:
- швидше знаходять вразливості;
- виявляють проблеми, які раніше залишалися непоміченими;
- допомагають оперативно створювати й розгортати виправлення.
За словами учасників проєкту, використання моделі вже призвело до виявлення вразливостей «практично на кожній великій платформі», з якою вони працювали. Один із дослідників зазначає, що за кілька тижнів знайшов більше багів, ніж за все попереднє професійне життя.
Особливий фокус — на відкритому коді, який лежить в основі інтернет-інфраструктури. Серед прикладів:
- OpenBSD: виявлено вразливість, яка існувала 27 років. Достатньо надіслати певну послідовність даних на будь-який сервер OpenBSD — і його можна «покласти», спричинивши збій.
- Linux: знайдено кілька вразливостей, що дозволяють користувачу без жодних привілеїв підвищити свої права до адміністратора, просто запустивши спеціальний бінарний файл.
У кожному випадку інформацію передавали мейнтейнерам відповідних проєктів. Вони виправляли помилки й розгортали патчі, завдяки чому користувачі більше не піддаються цим конкретним атакам.
Для розробників, які роками підтримують складні системи, інструмент, здатний автоматично знаходити вразливості в їхньому ж коді й пропонувати способи виправлення до того, як ними скористаються зловмисники, стає фактично незамінним.
Кібербезпека як основа функціонування суспільства
Сьогодні «софт з’їв світ»: майже кожен аспект повсякденного життя має цифрове відображення. Фінансові транзакції, інфраструктура, персональні дані, бізнес-процеси — усе тримається на припущенні, що системам можна довіряти.
У такій реальності кібербезпека перетворюється на безпеку суспільства загалом. Жодна організація не бачить повної картини загроз і не здатна самостійно впоратися з масштабом проблеми. Саме тому ініціативи на кшталт Project Glasswing роблять ставку на координацію зусиль:
- співпрацю між великими технологічними компаніями;
- взаємодію з урядовими структурами (зокрема, в США) для оцінки ризиків нових моделей і розробки захисних заходів;
- довгострокову роботу, розраховану не на тижні, а на місяці й роки.
Мета амбітна, але чітко сформульована: зробити так, щоб програмне забезпечення, дані користувачів, фінансові операції та критична інфраструктура стали безпечнішими, ніж вони є сьогодні — попри те, що інструменти потенційних атак стають дедалі потужнішими.
Джерело
An initiative to secure the world’s software | Project Glasswing — YouTube