Автоматическое выявление уязвимостей с помощью AI меняет экономику enterprise-безопасности, которая традиционно была выгоднее для атакующих.
Когда-то свести количество эксплойтов к нулю считалось нереалистичной целью. Преобладающая операционная доктрина заключалась в том, чтобы сделать атаки настолько дорогими, чтобы их могли позволить себе только противники с фактически неограниченными бюджетами, тем самым отбивая охоту к случайным попыткам.
Однако недавняя оценка инженерной команды Mozilla Firefox — с использованием Claude Mythos Preview от Anthropic — ставит под сомнение этот сложившийся статус-кво.
Во время первой оценки с Claude Mythos Preview команда Firefox выявила и исправила 271 уязвимость для релиза версии 150. До этого была более ранняя совместная работа с Anthropic с использованием Opus 4.6, которая принесла 22 исправления, связанные с безопасностью, в версии 148.
Обнаружение сотен уязвимостей одновременно сильно нагружает ресурсы команды. Но в сегодняшнем жестком регуляторном климате та работа, которую нужно проделать, чтобы предотвратить утечку данных или ransomware-атаку, с лихвой окупается. Автоматическое сканирование также снижает затраты: поскольку система непрерывно сверяет код с известными базами угроз, компании могут сократить найм дорогих внешних консультантов.
Снижение затрат на вычисления и трения при интеграции
Интеграция frontier AI-моделей в существующие pipeline непрерывной интеграции приводит к серьезным затратам на вычисления. Прогон миллионов токенов проприетарного кода через такую модель, как Claude Mythos Preview, требует отдельных капитальных вложений. Предприятиям нужно создавать защищенные среды vector database для управления context window, необходимыми для огромных кодовых баз, чтобы корпоративная логика оставалась строго разделенной и защищенной.
Оценка результата также требует строгой борьбы с hallucination. Если модель генерирует ложноположительные сообщения об уязвимостях безопасности, это тратит дорогие часы инженерной работы людей. Поэтому deployment pipeline должен сопоставлять выводы модели с уже существующими инструментами static analysis и результатами fuzzing, чтобы подтверждать находки.
Автоматизированное тестирование безопасности в значительной степени опирается на методы dynamic analysis, особенно на fuzzing, которым занимаются внутренние red team. Хотя fuzzing очень эффективен, он сталкивается с трудностями в некоторых частях кодовой базы. Элитные исследователи по безопасности преодолевают эти ограничения, вручную рассуждая о исходном коде и выявляя logic flaws. Этот ручной процесс отнимает много времени и ограничен дефицитом элитной человеческой экспертизы.
Интеграция продвинутых моделей устраняет это человеческое ограничение. Компьютеры, которые всего несколько месяцев назад были совершенно не способны на такую задачу, теперь отлично умеют рассуждать о коде. Mythos Preview демонстрирует паритет с лучшими в мире исследователями безопасности. Команда инженеров отметила, что не нашла ни одной категории или сложности дефекта, которую люди могут обнаружить, а модель — нет. Что также обнадеживает, они не увидели и ошибок, которые не мог бы обнаружить элитный человеческий исследователь.
Хотя переход на memory-safe языки, такие как Rust, помогает снизить риск некоторых распространенных классов уязвимостей, останавливать разработку ради замены десятилетий legacy C++ кода финансово неприемлемо для большинства компаний. Инструменты автоматизированного reasoning дают очень экономичный способ защитить legacy codebase без колоссальных расходов на полную перестройку системы.
Устранение человеческого ограничения на поиск уязвимостей
Большой разрыв между тем, что могут обнаружить машины, и тем, что могут обнаружить люди, сильно играет на руку атакующему. Враждебные акторы могут сосредоточить месяцы дорогостоящих человеческих усилий, чтобы найти один эксплойт. Сокращение этого разрыва делает идентификацию уязвимостей дешевой, подрывая долгосрочное преимущество атакующего. И хотя первый поток найденных дефектов в краткосрочной перспективе выглядит пугающе, для enterprise-защиты это отличная новость.
Поставщики критически важного ПО, доступного через интернет, имеют специальные команды, которые защищают пользователей. По мере того как другие технологические компании будут внедрять похожие методы оценки, базовый стандарт ответственности за программное обеспечение изменится. Если модели действительно способны надежно находить logic flaws в codebase, отказ от использования таких инструментов вскоре может быть воспринят как корпоративная халатность.
Важно и то, что нет признаков того, что эти системы изобретают совершенно новые категории атак, которые выходят за пределы текущего понимания. Приложения вроде Firefox спроектированы модульно, чтобы человек мог рассуждать об их корректности. ПО сложное, но не произвольно сложное. Дефекты программного обеспечения конечны.
Принимая advanced automated audits, технологические лидеры могут активно сдерживать устойчивые угрозы. Первичный поток данных требует интенсивного инженерного внимания и перераспределения приоритетов. Однако команды, которые доведут работу по исправлениям до конца, получат положительный результат. Отрасль движется к недалекому будущему, в котором у команд защиты будет решающее преимущество.
См. также: Anthropic зашел в Белый дом, и именно Mythos помог ему получить доступ в Вашингтон
Хотите узнать больше об AI и больших данных от лидеров отрасли? Посетите AI & Big Data Expo, которая пройдет в Амстердаме, Калифорнии и Лондоне. Это масштабное мероприятие входит в состав TechEx и проводится совместно с другими ведущими технологическими событиями, включая Cyber Security & Cloud Expo. Нажмите здесь, чтобы узнать больше.
AI News работает на базе TechForge Media. Узнайте о других предстоящих мероприятиях и вебинарах в сфере корпоративных технологий здесь.
Материал — перевод статьи с английского.
Оригинал: Reversing enterprise security costs with AI vulnerability discovery