Odvětví kybernetické bezpečnosti čelí náhlému a masivnímu nárůstu softwarových zranitelností – fenoménu, kterému se přezdívá „krize odhalování chyb nultého dne“. Rychlý vývoj umělé inteligence vedl k tomu, že objem zpráv o zranitelnosti začal převyšovat schopnost vývojářů a bezpečnostních týmů je opravit.
Krize z rozsahu
Rozsah tohoto přílivu je bezprecedentní. Údaje z Zero Day Initiative, největšího světového programu Bug Bounty neutrálního vůči dodavatelům, ukazují ohromující 490% nárůst přihlášených příspěvků za tento měsíc ve srovnání se stejným obdobím loňského roku.
Nejde jen o zvýšení počtu hlášení; V metodách vyhledávání zranitelností dochází k zásadnímu posunu. Tato „povodeň“ nutí organizace přijmout drastická opatření:
– Program Internet Bug Bounty zcela pozastavil přijímání nových žádostí, aby se vyrovnal se zátěží.
– cURL, kritická součást softwaru s otevřeným zdrojovým kódem, pozastavila svůj program Bug Bounty s cílem bojovat proti informačnímu šumu a snížit psychickou zátěž dobrovolných vývojářů.
– Bezpečnostní týmy provádějí vyčerpávající práci „třídění“, což je proces prosévání tisíců zpráv, aby se zjistilo, které jsou skutečné hrozby a které jsou „odpadem AI“ (automatické zprávy nízké kvality).
Od hluku k vysoce závažným hrozbám
Zpočátku se experti obávali, že AI bude generovat většinou „nekvalitní“ zprávy – automatizované, nesmyslné požadavky, které pouze plýtvají časem vývojářů. Trend se však mění směrem k mnohem nebezpečnějšímu scénáři.
Daniel Stenberg, hlavní vývojář cURL, zaznamenal kritickou změnu ve směru: navzdory obrovskému množství hlášení roste také závažnost a kvalita těchto chyb. Tempo potvrzování skutečných zranitelností se podle něj nyní rovná úrovni, která existovala před érou AI, nebo ji dokonce překonala.
Příkladem tohoto posunu je nedávné vydání Anthropic, Claude Mythos. Model umělé inteligence prokázal pokročilé schopnosti pro autonomní vyhledávání a využívání zero-day zranitelností napříč všemi hlavními operačními systémy. Anthropic uvedl, že našli tolik chyb, že je byli nuceni zveřejnit v pořadí, počínaje tím nejkritičtějším, aby neochromili práci vývojářů. Poskytli také střízlivou statistiku: méně než 1 % zranitelností, které objevili, bylo plně opraveno jejich příslušnými vývojáři.
Dynamika „závodů ve zbrojení“
Tento nárůst poukazuje na rostoucí nerovnováhu v kybernetické bezpečnosti. Umělá inteligence sice poskytuje nástroje pro obránce, ale také výrazně zlepšuje produktivitu útočníků.
| Aspekt | Dopad AI |
|---|---|
| Míra detekce | Roste exponenciálně; chyby jsou nalezeny rychleji, než je lidé mohou opravit. |
| Závažnost zranitelnosti | Přechod od nízké hladiny hluku ke kritickým, zneužitelným zranitelnostem zero-day. |
| Zatížení zdrojů | Přetížení dobrovolníků pro open-source projekty a dokonce i giganti jako Microsoft. |
| Proces třídění | Potřeba používat AI proti AI; společnosti implementují modely pro odfiltrování nevyžádané umělé inteligence. |
Microsoft nedávno vydal svou druhou největší měsíční bezpečnostní aktualizaci vůbec a mnoho odborníků to připisuje vzestupu AI při hledání bezpečnostních děr. I když si společnost dává pozor, aby neukázala na AI jako jediný důvod, korelace je jasná.
Cesta vpřed: Ochrana proti škálování
Průmysl se v současnosti ocitá v začarovaném kruhu reaktivních akcí. V boji proti vlně chyb generovaných umělou inteligencí jsou bezpečnostní organizace nuceny používat umělou inteligenci k třídění a filtrování příchozích zpráv.
Hlavním problémem je rychlost. Pokud bude tempo, jakým výzkumníci (a hackeři) nalézají zranitelnosti, i nadále překonávat rychlost, s jakou mohou vývojáři psát, testovat a implementovat opravy, bude se okno příležitostí pro útočníky jen rozšiřovat.
„Musíme najít způsob, jak škálovat naše opravy tak rychle, jako výzkumníci (a útočníci) mění svá zjištění,“ varuje Dustin Childs z iniciativy Zero Day.
Závěr
Vzestup umělé inteligence při hledání zranitelností vytvořil úzký profil v zabezpečení softwaru: obrovské množství kritických chyb hrozí paralyzovat globální záplatovací infrastrukturu. Úspěch v této nové éře bude záviset na tom, zda průmysl dokáže škálovat své obranné schopnosti tak rychle, jako AI škáluje své útočné schopnosti.
