Selle häirimine tehisintellekt kui küberturvalisuse tööriist Mozilla on just teinud olulise sammu edasi Mozilla ja Anthropicu koostöös Firefoxi teemal. Vaid paari nädalaga on tehisintellekti mudel suutnud leida Mozilla avatud lähtekoodiga brauseris hulga haavatavusi, mille kõrvaldamine tavaliselt nõuaks kuude pikkust spetsialiseeritud inimtööd.
See katse, millel on otsene mõju Firefoxi kasutajad Hispaanias ja mujal EuroopasSee on aidanud mõõta, kui kaugele suudavad keelemudelid tänapäeval reaalse koodi auditeerimisel minna ja millist rolli saavad nad mängida sadade miljonite inimeste poolt iga päev kasutatava tarkvara kaitsmisel.
Kui tehisintellektist saab parim turvaaudiitor
Tarkvaraturbes on haavatavuse leidmine enne ründajaid ülioluline: see võib tähendada vahet kaitsta miljoneid kasutajaid või paljastada nende andmeidSelles kontekstis on Mozilla testinud ebatavalist lähenemisviisi: lastes täiustatud tehisintellektil oma brauseri lähtekoodi haavatavuste leidmiseks üle vaadata enne, kui seda teevad teadlased või küberkurjategijad.
Mõni nädal enne turuletoomist Firefox 148Brauseri turvameeskond sai rabava raporti: Antroopilise Piiri Punane Meeskond —ettevõtte sisemine rünnakuuuringute rühm — väitis, et leidis oma Claude'i mudeli abil, enam kui tosin kontrollitavat turvaviga Firefoxi JavaScripti mootoris. Need polnud pelgalt kahtlused, vaid vead, mida toetasid konkreetsed tõendid.
See, mis eristas seda teistest tehisintellekti kasutamise katsetest selles valdkonnas, oli aruandluse kvaliteet. Iga haavatavust toetas minimaalselt reprodutseeritavate testideNeed olid väikesed koodijupid, mis suutsid haavatavuse deterministlikult käivitada. See võimaldas Mozilla inseneridel tundide jooksul kontrollida, kas probleem tegelikult eksisteeris, ja alustada paranduste kallal töötamist ilma mitmetähenduslike stsenaariumide taastootmisele aega kulutamata.
Ökosüsteemis, kus paljud automatiseeritud tööriistade loodud hoiatused satuvad prügikasti, kuna valepositiivsed või ebatäpsed aruandedAnthropicu lähenemisviis vähendas müra drastiliselt ja andis kasuliku signaali: vähem helitugevust, kuid valideeritud ja rakendatavad leiud.
Mis on Anthropici Frontier Red Team ja kuidas see Claude'iga töötab?
Kõne Piiripunane meeskond See on Anthropicu üksus, mis on pühendunud oma tehisintellekti mudelite piiride uurimisele ründe- ja kaitseturbes. Selle eesmärk pole mitte ainult hinnata mudelite sisemisi riske, vaid ka uurida Kuidas saab tehisintellekti kasutada päris tarkvara haavatavuste leidmiseks? enne kui pahatahtlikud tegelased seda teevad.
Viimastel kuudel on see meeskond näidanud, et sellised mudelid nagu Claude'i opus 4.6 saab joosta mitmeastmelised rünnakud keerukate võrkude vastu kontrollitud keskkondadesSee annab aimu nende analüütilistest võimetest. Sama võim on koordineeritult ja vastutustundlikult ümber suunatud avatud lähtekoodiga projektide, näiteks Firefoxi, läbivaatamisele vastutustundlike haavatavuste avalikustamise protsesside raames.
Mozilla brauseri puhul alustas Anthropic testimisharjutusega: kasutades Claude'i reprodutseerida ajaloolisi Firefoxi haavatavusi (CVE-sid)Kontrollisime, kas mudel suutis ära tunda veamustreid, mis on juba koodi vanemates versioonides dokumenteeritud. Tulemus oli positiivne, kuigi ühe selge hoiatusega: osa sellest teabest võib olla mudeli treeningandmetes.
Edasi minnes astus Frontier Red Team huvitavasse ossa: palus tehisintellektil leida Uued haavatavused Firefoxi praeguses versioonisSee tähendab vigu, mida polnud veel üheski avalikus andmebaasis ega Mozilla sisemistes jälgimissüsteemides loetletud.
Kuidas Firefoxi JavaScripti mootori haavatavused avastati
Lähtepunktiks oli brauseri JavaScripti mootor, mis on kriitilise tähtsusega komponent, kuna see vastutab käivita veebilehtedelt ebausaldusväärset välist koodiIga viga selles kihis võib halvimal juhul muutuda väravaks kasutaja süsteemi ründamiseks.
Nagu Anthropic ja Mozilla on selgitanud, Claude leidis oma esimese kriitilise haavatavuse umbes kahekümne minutiga. analüüsi algusest peale. See oli seda tüüpi läbikukkumine kasutusvaba, mälu haavatavuse kategooria, mis võimaldab ründajal andmeid suvalise sisuga üle kirjutada, kui see on aheldatud teiste süsteemi nõrkustega.
Samal ajal kui Anthropicu insenerid valideerisid seda esialgset hoiatust virtuaalmasinas brauseri uusima versiooniga, jätkas tehisintellekt paralleelselt tööd. Selle aja jooksul oli mudel juba märguande andnud ligikaudu 50 täiendavat sisendit anomaalse käitumisega, paljud neist muutusid hiljem testjuhtumiteks, mis saadeti Mozillale.
Protsess ei piirdunud ainult JavaScripti mootoriga. Umbes kahe nädala jooksul analüüsis Claude peaaegu 6.000 C++ faili ja tuhandeid täiendavaid projektifailegenereerides 112 unikaalset aruannet. Pärast Mozilla turvameeskonna tehtud triaaži kinnitati sellest komplektist järgmist 22 haavatavust registreeriti CVE-na, millest 14 liigitati kõrge raskusastmegalisaks ligi 90 täiendavale rikkele, millel peetakse väiksemat mõju või mis on pelgalt loogilised vead.
Kõik tuvastatud turvaprobleemid parandati Firefox 148 arendustsüklis.See versioon on nüüd saadaval kasutajatele Euroopas ja mujal maailmas. Samuti on parandatud madalama prioriteediga vigu, kuigi mõned muudatused on reserveeritud hilisematele versioonidele, et vältida liiga paljude muudatuste sissetoomist ühes väljalaskes.
Tuvastati üle 100 vea ja vähem valepositiivseid tulemusi kui teistel tehisintellektidel
Selle koostöö käigus andis Claude'i analüüs tulemuseks Rohkem kui 100 erinevat Firefoxi vigaKuigi kõik neist ei osutunud ärakasutatavateks haavatavusteks, näitab see köide, et isegi küpsed ja auditeeritud projektid, näiteks Mozilla brauser, võivad varjata märkimisväärset hulka vigu.
Mõjust ettekujutuse andmiseks selgitas Mozilla turvameeskond, et ainuüksi nende kahe testimisnädala jooksul suutis tehisintellekt Tuvastage arv tõsiseid vigu, mis vastavad ligikaudu 20%-le kõigist kriitilistest haavatavustest, mis brauseris aasta jooksul parandatud on.Teisisõnu, tehisintellekti abil teostatud audit koondas päevadesse ülesande, mis tavaliselt jaotub mitme kuu peale.
Üks võtmetegur oli valepositiivsete tulemuste määr. Paljud avatud lähtekoodiga projektid, sealhulgas Euroopa projektid, on viimastel aastatel saanud valepositiivseid tulemusi. madala kvaliteediga tehisintellekti tööriistade loodud aruannete lainedNeid aruandeid esitavad sageli kasutajad, kes otsivad veapreemiaprogrammide kaudu tasu. Need ülekoormavad hooldajaid olematute või halvasti kirjeldatud probleemidega.
Mozilla, olles olukorrast teadlik, suhtus koostöösse esialgu ettevaatlikult. Frontier Red Teami lähenemisviis osutus aga teistsuguseks: Läbivaatamiseks esitati ainult need otsused, millele olid lisatud kindlad tõendid., selgete automaatsete reproduktsioonidega ja mõnel juhul ka tehisintellekti enda loodud ja inimeste poolt üle vaadatud kandidaatide parandusettepanekutega.
Mozilla insenerid on esile tõstnud kolm elementi, mida nad peavad tehisintellektil põhinevate aruannete usaldamiseks oluliseks: minimaalsed testimisjuhtumid, detailsed kontseptsioonitõendid ja soovituslikud parandusedSee kombinatsioon vähendab oluliselt aega, mis kulub selle kinnitamiseks, kas leid väärib kohest tähelepanu või saab selle edasi lükata.
Kas tehisintellekt suudab ära kasutada avastatud haavatavusi?
Katse üks delikaatsemaid punkte oli välja selgitada, kas Claude oli võimeline mitte ainult leida haavatavusedaga ka selleks, et need muutuksid funktsionaalsed ärakasutamisedSee tähendab rünnakutes, mis on võimelised sihtsüsteemis pahatahtlikke toiminguid tegema.
Anthropic otsustas seda võimekust mõõta kontrollitud keskkonnas. Meeskond andis mudelile teavet Mozillale juba teatatud haavatavuste kohta ja palus sellel genereerida ärakasutamise koodi eesmärgiga kohaliku faili lugemine ja kirjutamine testmasinas toiming, mis reaalses stsenaariumis kujutaks endast süsteemi tõsist ohtu.
Selle saavutamiseks viidi läbi mitusada eraldi hukkamist ja investeeriti umbes [puuduv summa]. 4.000 dollarit API krediitiTulemus oli nüansirikas: Claude'il õnnestus toota vaid Kaks lihtsat ärakasutamist, mis toimiksidJa ometi ainult keskkonnas, kus mitmed tänapäevastes brauserites olevad kaitsefunktsioonid, näiteks liivakast ja muud kaitset tugevdavad meetmed, olid tahtlikult keelatud.
Mozilla rõhutab, et reaalsetes tingimustes nõuab Firefoxi ohtu seadmine tavaliselt järgmist: mitme haavatavuse ühendamine ja mitme kaitsekihi möödahiilimineÜhe haavatavuse, isegi kui see on väga tõsine, leidmisest harva piisab kasutaja süsteemi kontrolli alla võtmiseks, mis praegu piirab nende tööriistade otsest solvavat potentsiaali.
Sellegipoolest peab antropoloogia oluliseks, et keelemudel on võimeline, isegi kui ainult vähestel juhtudel ja piiratud tingimustel, genereerib automaatselt tänapäevase brauseri jaoks ärakasutamiseEttevõte hoiatab, et see lõhe – erinevus avastamise ja ärakasutamise vahel – võib väheneda, kuna hindamismudelid ja -meetodid arenevad pidevalt.
Mozilla integreerib tehisintellekti oma turvaprotokollidesse
Pärast koostöö edu, Mozilla on kinnitanud, et integreerib tehisintellekti abil tehtava analüüsi oma tavalisse turvalisuse töövoogu Firefoxi jaoks. Sihtasutuse meeskonnad on juba alustanud Claude'iga sisemist katsetamist vigade triaaži, paranduste ülevaatamise ja haavatavuste mustrite tuvastamise osas koodi kriitilistes piirkondades.
Organisatsioon, millel on Euroopas tugev kasutajate ja arendajate esindatus, näeb seda tehnoloogiat kui viisi tugevdada privaatsust ja turvalisustNeed on sambad, mis moodustavad osa Firefoxi projekti identiteedist. Avatud lähtekoodiga brauserina on selle koodibaas auditeerimiseks saadaval nii sõltumatutele teadlastele kui ka automatiseeritud agentidele, näiteks Anthropicu enda tehisintellektile.
Mozilla puhul on võtmetähtsusega a säilitamine tasakaal automatiseerimise ja inimese poolt teostatava läbivaatamise vahelKuigi tehisintellekti mudelid võivad kiirendada vigade avastamist ja pakkuda välja parandusi, nõuab sihtasutus, et iga parandus – olgu see siis inimeselt või masinalt – peab enne Euroopa ja ülejäänud maailma kodanike kasutatavasse brauserisse integreerimist läbima sama tehnilise kontrolli.
See kogemus on andnud praktilise juhise ka teistele tarkvaraprojektidele, sealhulgas Hispaanias või Euroopa Liidus väljatöötatud projektidele: tehisintellektil põhinevate aruannete aktsepteerimiseks on soovitatav nõuda selged tõendid reprodutseeritavuse kohta ja luua seda tüüpi avalikustamiseks spetsiifilised kanalid, vältides traditsiooniliste veajälgimissüsteemide ülekoormamist.
Õppetunnid Euroopa arendajatele ja tehnoloogiaettevõtetele
Lisaks Firefoxi ümbritsevale meediakärale annab Anthropicu ja Mozilla koostöö hulga olulisi järeldusi idufirmad, tehnoloogiaettevõtted ja suured Euroopa ettevõtted kes arendavad oma tarkvara või digiteenuseid.
Üks selgemaid on see, et Tehisintellekti abil koodi auditeerimine on muutunud majanduslikult tasuvaksSee, mis varem oleks nõudnud nädalatepikkust spetsialistide meeskonna tööd, saab nüüd teha esialgse automaatse kontrolli mõne tunni või päevaga ja palju odavamalt kui põhjalik käsitsi läbivaatamine.
Teine õppetund on see, et Tuvastuskiirus hakkab ületama inimese korrektsioonivõimetSellised tööriistad nagu Claude suudavad kiiresti leida kümneid potentsiaalseid haavatavusi, kuid kitsaskohaks saab sisemiste meeskondade võime neid probleeme valideerida, tähtsuse järjekorda seada ja parandada ilma süsteemi teisi osi lõhkumata.
Samuti on selge, et Avatud lähtekood ei ole garanteeritud turvalisuse sünonüümSiiski pakub see ühte olulist eelist: läbipaistvust. Projektid nagu Firefox, mis on Euroopas oma privaatsusele keskendumise tõttu väga populaarsed, võimaldavad nii kogukonnal kui ka automatiseeritud agentidel koodi pidevalt üle vaadata, mis on suletud lahendustes võimatu.
Paljude organisatsioonide jaoks võib tehisintellekti integreerimine arendusprotsessi – näiteks automatiseeritud analüütika kaasamine CI/CD etappidesse – muutuda oluliseks. eristav tegur regulatiivse vastavuse tõendamiselSee muutub üha olulisemaks seoses Euroopa küberturvalisuse ja kriitilise tarkvara standardite tulevase kohaldamisega.
Samal ajal tuletab see juhtum meelde, et ka ründajatel on juurdepääs sarnastele tehnoloogiatele. Praegune eelis näib olevat kaitse poolel.Tehisintellekt on parem vigade leidmises ja parandamises kui nende ärakasutamises, kuid keegi ei pea enesestmõistetavaks, et see eelis kestab aastaid.
Sellises olukorras hakkavad Euroopa ettevõtete turvajuhid – pankadest e-kaubandusplatvormide või digitaalsete kommunaalteenuste pakkujateni – nägema neid tööriistu mitte eksperimentaalse lisana, vaid pigem veel üks osa nende tarkvarakaitse strateegiast.
Firefoxi ja Anthropicu fiaskod näitavad, kuidas hästi juhitud ja jälgitud tehisintellekti mudel saab toimida tipptasemel turvaaudiitorina: see suudab üle vaadata suuri koodibaase, tuvastada keerulisi vigu ja pakkuda lahendusi väga kiiresti. Samal ajal teeb see selgeks, et lõplik otsus jääb ikkagi inimmeeskondadele, kes peavad otsustama, mida, kuidas ja milliste prioriteetidega parandada, maastikul, kus tarkvara ja ohtude arengu tempo jätkuvalt kiireneb.
