La scoperta automatizzata delle vulnerabilità dell’intelligenza artificiale sta invertendo i costi di sicurezza aziendale che tradizionalmente favoriscono gli aggressori.
Portare gli exploit a zero un tempo era considerato un obiettivo irrealistico. La dottrina operativa prevalente mirava a rendere gli attacchi così costosi che solo gli avversari con budget funzionalmente illimitati potevano permetterseli, disincentivandone così l’uso occasionale.
Tuttavia, la recente valutazione del Mozilla Il team di ingegneri di Firefox, utilizzando Claude Mythos Preview di Anthropic, sfida questo status quo accettato.
Durante la valutazione iniziale con Claude Mythos Preview, il team di Firefox ha identificato e corretto 271 vulnerabilità per la versione 150. Ciò ha fatto seguito a una precedente collaborazione con Anthropic utilizzando Opus 4.6, che ha prodotto 22 correzioni sensibili alla sicurezza nella versione 148.
Scoprire centinaia di vulnerabilità contemporaneamente mette a dura prova le risorse di un team. Ma nel rigido clima normativo di oggi, fare il lavoro pesante per prevenire una violazione dei dati o un attacco ransomware si ripaga facilmente. La scansione automatizzata riduce anche i costi; poiché il sistema confronta continuamente il codice con i database delle minacce note, le aziende possono ridurre l’assunzione di costosi consulenti esterni.
Superare le spese di elaborazione e gli attriti legati all’integrazione
L’integrazione dei modelli di intelligenza artificiale di frontiera nelle pipeline di integrazione continua esistenti introduce pesanti considerazioni sui costi di elaborazione. L’esecuzione di milioni di token di codice proprietario attraverso un modello come Claude Mythos Preview richiede una spesa in conto capitale dedicata. Le aziende devono creare ambienti di database vettoriali sicuri per gestire le finestre di contesto necessarie per vaste basi di codici, garantendo che la logica aziendale proprietaria rimanga rigorosamente partizionata e protetta.
La valutazione dell’output richiede anche una rigorosa mitigazione delle allucinazioni. Un modello che genera vulnerabilità di sicurezza false positive spreca costose ore di ingegneria umana. Pertanto, la pipeline di distribuzione deve effettuare riferimenti incrociati tra gli output del modello e gli strumenti di analisi statica esistenti e i risultati del fuzzing per convalidare i risultati.
I test di sicurezza automatizzati si basano fortemente su tecniche di analisi dinamica, in particolare sul fuzzing, gestite da team rossi interni. Anche se il fuzzing è molto efficace, ha difficoltà con alcune parti del codice base. I ricercatori di sicurezza d’élite superano queste limitazioni ragionando manualmente attraverso il codice sorgente per identificare i difetti logici. Questo processo manuale richiede molto tempo ed è limitato dalla scarsità di competenze umane d’élite.
L’integrazione di modelli avanzati elimina questo vincolo umano. I computer, completamente incapaci di svolgere questo compito fino a pochi mesi fa, ora eccellono nel ragionare attraverso il codice. Mythos Preview dimostra la parità con i migliori ricercatori di sicurezza del mondo. Il team di ingegneri ha notato di non aver trovato alcuna categoria o complessità di difetti che gli esseri umani possano identificare e che il modello non possa. Inoltre, cosa incoraggiante, non hanno riscontrato alcun bug che non avrebbe potuto essere scoperto da un ricercatore umano d’élite.
Durante la migrazione verso linguaggi sicuri per la memoria come Ruggine fornisce mitigazione per alcune classi di vulnerabilità comuni, interrompere lo sviluppo per sostituire decenni di codice C++ legacy è finanziariamente impraticabile per la maggior parte delle aziende. Gli strumenti di ragionamento automatizzato offrono un metodo altamente conveniente per proteggere le basi di codice legacy senza incorrere nelle spese sconcertanti di una revisione completa del sistema.
Eliminare il vincolo della scoperta umana
Un ampio divario tra ciò che le macchine possono scoprire e ciò che gli esseri umani possono scoprire favorisce fortemente l’aggressore. Gli attori ostili possono concentrare mesi di costosi sforzi umani per scoprire un singolo exploit. Colmare il gap di scoperta rende economica l’identificazione delle vulnerabilità, erodendo il vantaggio a lungo termine dell’aggressore. Sebbene l’ondata iniziale di difetti identificati possa sembrare terrificante nel breve termine, fornisce ottime notizie per la difesa aziendale.
I fornitori di importanti software esposti a Internet dispongono di team dedicati che mirano a proteggere gli utenti. Poiché altre aziende tecnologiche adottano metodi di valutazione simili, lo standard di base per la responsabilità del software cambierà. Se i modelli riescono a trovare in modo affidabile difetti logici in una base di codice, il mancato utilizzo di tali strumenti potrebbe presto essere visto come negligenza aziendale.
È importante sottolineare che non vi è alcuna indicazione che questi sistemi stiano inventando categorie di attacchi completamente nuove che sfidano la comprensione attuale. Le applicazioni software come Firefox sono progettate in modo modulare per consentire il ragionamento umano sulla correttezza. Il software è complesso, ma non arbitrariamente complesso. I difetti del software sono limitati.
Adottando controlli automatizzati avanzati, i leader tecnologici possono sconfiggere attivamente le minacce persistenti. L’afflusso iniziale di dati richiede un’intensa attenzione ingegneristica e la ridefinizione delle priorità. Tuttavia, i team che si impegnano nel lavoro di riparazione richiesto troveranno una conclusione positiva del processo. L’industria guarda a un futuro prossimo in cui le squadre di difesa avranno un vantaggio decisivo.
Vedi anche: L’antropologia entra alla Casa Bianca e Mythos è la ragione per cui Washington l’ha lasciata entrare
Vuoi saperne di più sull’intelligenza artificiale e sui big data dai leader del settore? Guardare Fiera dell’intelligenza artificiale e dei big data che si svolge ad Amsterdam, in California, e a Londra. L’evento completo è parte di TechEx ed è situato in concomitanza con altri importanti eventi tecnologici tra cui Fiera sulla sicurezza informatica e sul cloud. Clic Qui per ulteriori informazioni
AI News è alimentato da Media TechForge. Esplora altri prossimi eventi e webinar sulla tecnologia aziendale Qui.
Fonte: www.artificialintelligence-news.com
