Anthropic za měsíc odhalil přes 10 000 kritických zranitelností. AI mění pravidla hry v kybernetické bezpečnosti

Výsledky iniciativy Project Glasswing, které společnost Anthropic zveřejnila po prvním měsíci provozu, přinášejí data, jež by měli vzít na vědomí všichni, kteří rozhodují o bezpečnostní strategii.

Během jediného měsíce identifikoval model Mythos více než 10 000 zranitelností vysoké nebo kritické závažnosti v systémově důležitém softwaru. Podle Anthropicu to zásadně mění povahu problému: hlavní výzvou kybernetické bezpečnosti přestává být hledání chyb a stává se jí jejich ověřování a opravování.

Od hledání k záplatování – posun paradigmatu

Zjištění vycházejí z reportů partnerů i nezávislých hodnocení a představují jeden z prvních rozsáhlých důkazů o tom, co dokáže špičkový AI model, pokud je zaměřen na široce používaný kód. Zároveň odhalují úzká místa, která při tom vznikají.

Někteří partneři zaznamenali více než desetinásobný nárůst rychlosti odhalování chyb oproti dosavadním metodám. Konkrétní výsledky jsou ilustrativní: Cloudflare identifikoval 2 000 chyb napříč svými kritickými systémy, z toho 400 hodnocených jako vysoká nebo kritická závažnost – přičemž míra falešně pozitivních nálezů byla podle vyjádření firmy nižší než u lidských testerů. U jedné nejmenované partnerské banky přispěl model k odhalení a zabránění podvodnému bankovnímu převodu 1,5 milionu dolarů, který byl iniciován po kompromitaci zákazníkova e-mailového účtu a doprovázen falšovanými telefonáty.

Nezávislá hodnocení potvrzují výjimečné schopnosti

Výsledky Anthropicu potvrzují i externí evaluace. Britský AI Security Institute zjistil, že Mythos Preview je prvním modelem, který úspěšně zvládl oba jeho „cyber ranges“ – simulace vícekrokových kybernetických útoků – od začátku do konce. Mozilla při testování modelu našla a opravila 271 zranitelností ve Firefoxu 150, což je více než desetinásobek počtu nalezených ve Firefoxu 148 za použití staršího modelu Anthropicu. Bezpečnostní platforma XBOW označila Mythos za výrazný posun vpřed oproti stávajícím systémům ve svém benchmarku zaměřeném na webové exploity.

Skenování open-source ekosystému v číslech

Anthropic použil Mythos také k analýze více než 1 000 open-source projektů. Model označil celkem 23 019 potenciálních zranitelností, z nichž 6 202 bylo odhadnuto jako vysoká nebo kritická závažnost. Z 1 752 nálezů hodnocených jako vysoká nebo kritická, které prověřilo šest nezávislých bezpečnostních výzkumných firem nebo samotný Anthropic, bylo více než 90 % potvrzeno jako reálná hrozba a více než 62 % z nich bylo potvrzeno jako skutečně vysoká nebo kritická závažnost.\n\nPro IT manažery a CISO v českých firmách, které využívají open-source komponenty – a takových je drtivá většina – jde o signál, že rozsah dosud neidentifikovaných rizik v jejich softwarovém řetězci může být podstatně větší, než předpokládají.

Lidská kapacita jako skutečné úzké hrdlo

Přesto ani Anthropic nezastírá systémové omezení: „Úzkým hrdlem při opravování takových chyb je lidská kapacita potřebná k jejich třídění, reportování, navrhování a nasazování záplat,“ uvádí zpráva společnosti.

AI dokáže dramaticky zrychlit fázi discovery, ale bez dostatečného týmu schopného výsledky zpracovat hrozí, že se z výhody stane další zdroj přetížení. Zároveň se open-source komunita potýká s vlnou nekvalitních AI-generovaných hlášení o chybách. Anthropic proto uvádí, že se snaží každý nález před nahlášením nejprve reprodukovat a posoudit. Na žádost správců projektů nicméně v 1 129 případech zveřejnil nálezy bez dalšího prověření – model odhadl, že 175 z nich je vysoké nebo kritické závažnosti.

Mythos není veřejně dostupný – a záměrně

Anthropic zatím model Mythos veřejně neuvolnil, a to s odůvodněním, že žádná společnost – včetně samotného Anthropicu – dosud nevyvinula dostatečné záruky proti jeho závažnému zneužití. Místo toho spustila firma v rámci přechodného období Claude Security ve veřejné betě pro firemní zákazníky. Tato verze, postavená na veřejně dostupném modelu Claude Opus 4.7, pomohla za tři týdny opravit více než 2 100 zranitelností. Zároveň Anthropic spustil Cyber Verification Program určený bezpečnostním profesionálům. Do budoucna počítá Anthropic s rozšířením iniciativy Project Glasswing o další partnery, včetně vlád USA a spojeneckých zemí, a to ještě před případným širším zpřístupněním modelu.

Zpráva Anthropicu v závěru zdůrazňuje, že Glasswing pomáhá nejdůležitějším obráncům v kyberprostoru získat asymetrickou výhodu. Zároveň ale varuje, že existuje naléhavá potřeba, aby co nejvíce organizací posílilo svou kybernetickou obranu.

Zdroj: cyberscoop.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI