Automatizuotas AI pažeidžiamumo aptikimas panaikina įmonės saugumo išlaidas, kurios tradiciškai yra palankios užpuolikams.
Išnaudojimų sumažinimas iki nulio kažkada buvo laikomas nerealiu tikslu. Vyraujanti operatyvinė doktrina siekė, kad atakos būtų tokios brangios, kad jas galėtų sau leisti tik funkcionaliai neribotą biudžetą turintys priešai, taip atgrasant nuo atsitiktinio naudojimo.
Tačiau neseniai atliktas „Mozilla Firefox“ inžinierių komandos įvertinimas, naudojant Anthropic Claude Mythos peržiūrą, ginčija šį priimtą status quo.
Atlikdama pradinį įvertinimą su Claude Mythos Preview, „Firefox“ komanda nustatė ir ištaisė 271 150 versijos pažeidžiamumą. Tai įvyko po ankstesnio bendradarbiavimo su „Anthropic“, naudojant „Opus 4.6“, kuris davė 22 saugai jautrius pataisymus 148 versijoje.
Vienu metu atskleidus šimtus pažeidžiamumų, komandos ištekliai labai apkraunami. Tačiau šiandienos griežto reguliavimo sąlygomis darbas, siekiant išvengti duomenų pažeidimo ar išpirkos reikalaujančios programinės įrangos, lengvai atsiperka. Automatinis nuskaitymas taip pat mažina išlaidas; Kadangi sistema nuolat tikrina kodą pagal žinomų grėsmių duomenų bazes, įmonės gali sumažinti brangių išorės konsultantų samdymą.
Skaičiavimo išlaidų ir integravimo trinties įveikimas
Paribių AI modelių integravimas į esamus nuolatinio integravimo vamzdynus reikalauja didelių skaičiavimo išlaidų. Norint paleisti milijonus patentuoto kodo žetonų naudojant tokį modelį kaip Claude Mythos Preview, reikia tam tikrų kapitalo išlaidų. Įmonės turi sukurti saugias vektorinių duomenų bazių aplinkas, kad galėtų valdyti konteksto langus, reikalingus didžiulėms kodų bazėms, užtikrindamos, kad patentuota įmonės logika būtų griežtai suskaidyta ir apsaugota.
Norint įvertinti rezultatą, taip pat reikia griežtai sumažinti haliucinacijas. Klaidingai teigiamus saugumo spragas generuojantis modelis eikvoja brangias žmogaus inžinerijos valandas. Todėl diegimo dujotiekis turi susieti modelio rezultatus su esamais statinės analizės įrankiais ir neaiškiais rezultatais, kad būtų patvirtintos išvados.
Automatinis saugos testavimas labai priklauso nuo dinaminės analizės metodų, ypač neryškių, kuriuos vykdo vidinės raudonosios komandos. Nors „fuzzing“ yra labai efektyvus, jis susiduria su tam tikromis kodų bazės dalimis. Elitiniai saugumo tyrinėtojai įveikia šiuos apribojimus rankiniu būdu samprotaudami per šaltinio kodą, kad nustatytų logikos trūkumus. Šis rankinis procesas užima daug laiko ir jį riboja elito žmogiškosios patirties trūkumas.
Pažangių modelių integravimas pašalina šį žmogaus suvaržymą. Kompiuteriai, visiškai nesugebėję šios užduoties vos prieš kelis mėnesius, dabar puikiai sprendžia per kodą. „Mythos Preview“ demonstruoja lygiateisiškumą su geriausiais pasaulio saugumo tyrinėtojais. Inžinierių komanda pažymėjo, kad jie nerado jokios kategorijos ar sudėtingumo trūkumo, kurį žmonės galėtų nustatyti, kurio modelis negali nustatyti. Taip pat džiugina tai, kad jie nematė klaidų, kurių nebūtų galėjęs aptikti elitas žmonių tyrinėtojas.
Nors perėjimas prie atminties saugių kalbų, pvz., „Rust“, sumažina tam tikras įprastų pažeidžiamumo klases, sustabdyti plėtrą, siekiant pakeisti dešimtmečius seną C++ kodą, daugumai įmonių finansiškai nenaudinga. Automatiniai samprotavimo įrankiai yra labai ekonomiškas būdas apsaugoti senas kodų bazes nepatiriant stulbinančių išlaidų, susijusių su visišku sistemos kapitaliniu remontu.
Žmogaus atradimų suvaržymo pašalinimas
Didelis atotrūkis tarp to, ką gali atrasti mašinos, ir to, ką gali atrasti žmonės, yra labai palankus užpuolikui. Priešiški veikėjai gali sutelkti mėnesių brangiai kainuojančias žmogaus pastangas, kad atskleistų vieną išnaudojimą. Uždarius aptikimo spragą, pažeidžiamumo nustatymas tampa pigus, o tai mažina ilgalaikį užpuoliko pranašumą. Nors pradinė nustatytų trūkumų banga trumpuoju laikotarpiu atrodo bauginanti, ji suteikia puikių naujienų įmonių gynybai.
Svarbiausios internetinės programinės įrangos pardavėjai turi specialias komandas, kurios siekia apsaugoti vartotojus. Kitoms technologijų įmonėms taikant panašius vertinimo metodus, pradinis atsakomybės už programinę įrangą standartas pasikeis. Jei modeliai gali patikimai rasti loginių klaidų kodų bazėje, tokių įrankių nenaudojimas greitai gali būti vertinamas kaip įmonės aplaidumas.
Svarbu tai, kad nėra jokių požymių, kad šios sistemos išranda visiškai naujas atakų kategorijas, kurios nepaiso dabartinio supratimo. Programinės įrangos programos, pvz., „Firefox“, yra sukurtos moduliniu būdu, kad būtų galima mąstyti apie teisingumą. Programinė įranga yra sudėtinga, bet ne savavališkai sudėtinga. Programinės įrangos defektai yra riboti.
Taikydami pažangius automatinius auditus, technologijų lyderiai gali aktyviai įveikti nuolatines grėsmes. Pradinis duomenų antplūdis reikalauja intensyvaus inžinerinio dėmesio ir prioritetų nustatymo. Tačiau komandos, kurios įsipareigoja atlikti reikiamus ištaisymo darbus, ras teigiamą proceso baigtį. Pramonė žvelgia į artimiausią ateitį, kurioje gynybos komandos turės lemiamą pranašumą.
Taip pat žiūrėkite: Antropiniai pasivaikščiojimai į Baltuosius rūmus ir Mitas yra priežastis, kodėl Vašingtonas jį įsileido
Norite daugiau sužinoti apie AI ir didelius duomenis iš pramonės lyderių? Peržiūrėkite „AI & Big Data Expo“, vykstančią Amsterdame, Kalifornijoje ir Londone. Išsamus renginys yra „TechEx“ dalis ir vyksta kartu su kitais pagrindiniais technologijų renginiais, įskaitant „Cyber Security & Cloud Expo“. Norėdami gauti daugiau informacijos, spustelėkite čia.
AI naujienas teikia TechForge Media. Čia rasite kitus būsimus įmonių technologijų renginius ir internetinius seminarus.
