Branża cyberbezpieczeństwa stoi w obliczu nagłego i masowego wzrostu liczby luk w oprogramowaniu – zjawisko to nazwano „kryzysem odkrywania błędów dnia zerowego”. Szybki rozwój sztucznej inteligencji doprowadził do tego, że liczba raportów o podatnościach zaczęła przekraczać możliwości ich naprawienia przez programistów i zespoły ds. bezpieczeństwa.
Kryzys skali
Skala tego napływu jest bezprecedensowa. Dane z Inicjatywy Zero Day, największego na świecie, neutralnego dla dostawców programu Bug Bounty, pokazują zdumiewający 490% wzrost liczby zgłoszeń w tym miesiącu w porównaniu z tym samym okresem ubiegłego roku.
Nie chodzi tylko o zwiększenie liczby raportów; Następuje zasadnicza zmiana w metodach wyszukiwania podatności. Ta „powódź” zmusza organizacje do podjęcia drastycznych kroków:
– Program Internet Bug Bounty całkowicie zawiesił przyjmowanie nowych wniosków, aby sprostać obciążeniu.
– cURL, kluczowy komponent oprogramowania typu open source, wstrzymał program Bug Bounty, aby walczyć z szumem informacyjnym i zmniejszyć obciążenie psychiczne programistów-wolontariuszy.
– Zespoły ds. bezpieczeństwa wykonują wyczerpującą pracę „segregacji”, procesu przeglądania tysięcy raportów w celu ustalenia, które z nich są prawdziwymi zagrożeniami, a które „śmieciami AI” (automatyczne raporty niskiej jakości).
Od hałasu po zagrożenia o dużej wadze
Początkowo eksperci obawiali się, że sztuczna inteligencja będzie generować głównie raporty „niskiej jakości” – zautomatyzowane, pozbawione znaczenia żądania, które tylko marnują czas programistów. Trend zmienia się jednak w stronę znacznie bardziej niebezpiecznego scenariusza.
Daniel Stenberg, główny programista cURL, zauważa krytyczną zmianę kierunku: pomimo ogromnej liczby raportów rośnie również waga i jakość tych błędów. Według niego tempo potwierdzania realnych podatności jest obecnie równe poziomowi, jaki istniał przed erą AI, a nawet go przekroczył.
Przykładem tej zmiany jest niedawne wydawnictwo Anthropic, Claude Mythos. Model sztucznej inteligencji wykazał zaawansowane możliwości samodzielnego wyszukiwania i wykorzystywania luk typu zero-day we wszystkich głównych systemach operacyjnych. Anthropic stwierdziło, że znalazło tak wiele błędów, że zmuszeni byli opublikować je w kolejności, zaczynając od najbardziej krytycznych, aby nie paraliżować pracy programistów. Podali także otrzeźwiające statystyki: mniej niż 1% wykrytych przez nich luk zostało w pełni załatanych przez ich twórców.
Dynamika „wyścigu zbrojeń”
Ten gwałtowny wzrost uwydatnia rosnącą nierównowagę w zakresie cyberbezpieczeństwa. Chociaż sztuczna inteligencja zapewnia narzędzia dla obrońców, znacznie poprawia również produktywność atakujących.
| Aspekt | Wpływ sztucznej inteligencji |
|---|---|
| Współczynnik wykrywalności | Rośnie wykładniczo; błędy są wykrywane szybciej, niż ludzie są w stanie je naprawić. |
| Ważność luki | Przejście od szumu niskiego poziomu do krytycznych, możliwych do wykorzystania luk typu zero-day. |
| Ładowanie zasobów | Przeciążenie wolontariuszy do projektów open source, a nawet gigantów takich jak Microsoft. |
| Proces sortowania | Konieczność użycia sztucznej inteligencji przeciwko sztucznej inteligencji; firmy wdrażają modele mające na celu filtrowanie śmieci związanych ze sztuczną inteligencją. |
Firma Microsoft wydała niedawno drugą co do wielkości comiesięczną aktualizację zabezpieczeń w historii, a wielu ekspertów przypisuje to rozwojowi sztucznej inteligencji w zakresie wyszukiwania luk w zabezpieczeniach. Chociaż firma stara się nie wskazywać sztucznej inteligencji jako jedynego powodu, korelacja jest wyraźna.
Dalsze działania: ochrona przed skalowaniem
Branża znajduje się obecnie w błędnym kole działań reaktywnych. Aby walczyć z falą błędów generowanych przez sztuczną inteligencję, organizacje zajmujące się bezpieczeństwem zmuszone są samodzielnie korzystać ze sztucznej inteligencji do sortowania i filtrowania przychodzących raportów.
Głównym problemem jest prędkość. Jeśli tempo, w jakim badacze (i hakerzy) znajdują luki w zabezpieczeniach, będzie w dalszym ciągu przekraczać prędkość, z jaką programiści mogą pisać, testować i wdrażać poprawki, okno możliwości dla atakujących tylko się poszerzy.
„Musimy znaleźć sposób na skalowanie naszych poprawek tak szybko, jak badacze (i napastnicy) skalują swoje ustalenia” – ostrzega Dustin Childs z inicjatywy Zero Day Initiative.
Wniosek
Rozwój sztucznej inteligencji w zakresie wyszukiwania luk stworzył wąskie gardło w bezpieczeństwie oprogramowania: kolosalna liczba krytycznych błędów grozi paraliżem globalnej infrastruktury łatania. Sukces w tej nowej erze będzie zależał od tego, czy branża będzie w stanie skalować swoje zdolności obronne tak szybko, jak sztuczna inteligencja skaluje swoje zdolności ofensywne.
