Claude Mythos pronašao 27-godišnji bug – i tisuće nezakrpljenih
📷 © Tech&Space
- ★99% otkrivenih ranjivosti još uvijek nezakrpljeno
- ★OpenBSD bug skriven 27 godina otkriven za satove
- ★Project Glasswing: Anthropicov savez s tech divovima
Claude Mythos, anthropicov najnoviji model, nije samo još jedan ai alat za pisanje koda – pronašao je tisuće kritičnih ranjivosti u svim glavnim operacijskim sustavima, preglednicima i ključnom softveru. Čak 99% ih još uvijek čeka na zakrpu, prema podacima koje je kompanija podijelila s partnerima u okviru project glasswing.
To nije samo akademsko otkriće: model je za nekoliko sati identificirao bug u openbsd-u koji je ostao neprimijećen 27 godina, dok bi isti posao stručnim penetracijskim testerima, prema anthropicu, trajao tjednima. I tu počinje zanimljivo.
Jer dok marketing naglašava 'revolucionarni' potencijal, stvarni signal leži u tome tko sve sada žuri popravljati svoje proizvode – i ko će platiti račun. Microsoft, google i apple nisu spominjani izričito, ali je teško povjerovati da njihovi timovi za sigurnost nisu već u kontaktu s anthropicom.
Čudno je, dakle, da kompanija objavljuje podatke o masovnim ranjivostima, a da istovremeno ne navodi konkretne proizvode ili verzije. Da li je riječ o odgovornom otkrivanju ili strateškom pritisku?
Developer community na githubu i forumima poput hacker news već reagira s miješanjem fasciniranosti i skepticizma.
📷 © Tech&Space
Demo nasuprot deploymenta: tko zapravo dobiva prednost
Ako je 99% ranjivosti nezakrpljeno, zašto onda ne vidimo javne cve-ove?, pitaju neki, dok drugi upozoravaju na opasnost od security theatera – situacije u kojoj kompanije objavljuju brojeve bez stvarnog utjecaja na sigurnost krajnjih korisnika. Anthropic, s druge strane, inzistira da radi na 'odgovornom otkrivanju' kroz project glasswing, ali detalji o tome kako će se zakrpe distribuirati ostaju nejasni.
Razlika između demo verzije i stvarnog utjecaja na sigurnost leži u tome koliko će ovih otkrića biti pretvoreno u zakrpe, a koliko će ostati na papiru. Anthropic tvrdi da njihovi partneri već rade na popravcima, ali bez transparentnog popisa ranjivosti teško je procijeniti koliko je to stvarno hitno.
Da li je riječ o pravom napretku ili samo o još jednom alatu koji će završiti u rukama bug bounty lovaca i sigurnosnih agencija? Zanimljivo je i pitanje konkurencije.
Anthropic ovime ne samo da dokazuje vrijednost svojih modela nego i stavlja pritisak na meta, google i druge da ubrzaju razvoj vlastitih ai sigurnosnih alata. Deepmind je već najavio slične inicijative, a sada je pitanje tko će prvi uspostaviti standard za ai-potpomognutu sigurnost.
U svakom slučaju, otkriće claude mythosa pokazuje kako ai može biti moćan alat u otkrivanju sigurnosnih ranjivosti. Međutim, važno je da se ova tehnologija koristi odgovorno i da se rezultati njene upotrebe objavljuju transparentno. Također, kompanije trebaju biti spremne da investiraju u sigurnost i da rade na popravku ranjivosti koje su otkrivene, kako bi se zaštitili svoji korisnici i zaštitila njihova imovina.