Безопасность программного обеспечения становится настоящим кошмаром. Вы, вероятно, замечали, что каждые несколько недель ваши устройства Apple получают обновления, устраняющие десятки уязвимостей, и этот процесс никогда не останавливается. Современное программное обеспечение настолько сложно и переплетено с другими системами, что практически невозможно уследить за всеми угрозами.
Что такое "поверхность атаки"?
«Поверхность атаки» любой системы - это общее количество потенциальных зон для атаки. Это весь код, в котором хакер может найти брешь для компрометации вашего устройства, программы или сервиса. С увеличением объема кода, а также расширением библиотек, API и промежуточного ПО, поверхность атаки современного кода становится огромной.
Задача инженеров безопасности в таких компаниях, как Apple, заключается в том, чтобы находить и исправлять все возможные уязвимости, однако это работа колоссальных масштабов. Хакеры должны найти всего лишь одну неизвестную брешь, в то время как инженеры безопасности должны выявить и устранить их все.
Это дает злоумышленникам значительное преимущество. В результате безопасность программного обеспечения становится менее вопросом закрытия всех дыр и больше вопросом повышения барьера для атакующих - делая эксплуатацию уязвимостей настолько сложной и дорогой, что они становятся редкостью.
AI-кодировщики меняют правила игры
Но всё это скоро изменится.
AI-кодировщики достигли впечатляющих результатов. На самом деле, в многих областях они превосходят среднестатистического программиста, а в некоторых - даже лучших экспертов. Модель AI от Anthropic под названием Opus и инструмент Claude Code считаются одними из лучших. Специалисты Mozilla использовали Opus 4.6 для сканирования кода Firefox и обнаружили 22 уязвимости, требующие внимания.
Проект Glasswing и Mythos
Anthropic представила ещё более мощную модель под названием Mythos, которая пока не выпущена, но уже демонстрирует значительно лучшие результаты в анализе кода по сравнению с Opus 4.7. В рамках проекта Glasswing Anthropic предоставила исследователям безопасности из Apple, Google, Microsoft, Cisco, Linux Foundation и Amazon Web Services ранний доступ к Mythos, а также средства для поиска и устранения уязвимостей.
Как показал проект Glasswing, команда, использовавшая Opus 4.6 для нахождения 22 уязвимостей в Firefox, получила доступ к предварительной версии Mythos. В результате Firefox версии 150 были исправлены 271 уязвимость, обнаруженная Mythos. Это значит, что после того, как Opus нашел 22 проблемы, Mythos выявила ещё 271!
Уровень конкуренции
Модель AI Mythos настолько хороша в кодировании, что Anthropic обеспечивает доступ к ней только для критически важных компаний, чтобы протестировать её возможности по выявлению и исправлению уязвимостей в программном обеспечении.
Однако это также может быть опасно. Плохие акторы уже могут использовать публичные инструменты на репозиториях кода, таких как GitHub, для нахождения уязвимостей и их эксплуатации, а доступ к более мощному AI-агенту только усугубит ситуацию. Вот почему Anthropic считает Mythos слишком опасным для общего доступа и работает с ограниченным числом компаний, чтобы сначала улучшить их программное обеспечение.
Будущее безопасности
Вскоре обновления iOS могут устранять сотни уязвимостей до того, как хакеры успеют их использовать. В конечном итоге AI-кодировщики уровня Mythos или лучше станут широко доступными. Это может показаться кошмаром для безопасности, но на самом деле это значит, что инженеры безопасности крупнейших мировых компаний больше не будут находиться в невыгодном положении.
В настоящее время количество кода и программного обеспечения, взаимодействующего на всех наших устройствах, так велико, что невозможно защитить их все. Хакеры имеют столько времени, сколько нужно, и должны найти лишь одну брешь. В то время как исследователи безопасности ограничены в числе и должны устранять проблемы до их эксплуатации, AI-агенты могут работать на большом масштабе. Они могут предоставить крупнейшим поставщикам программного обеспечения эквивалент тысяч экспертов по безопасности, способных тщательно проверять всё до выхода в публичный доступ.
