Anthropic هشدار میدهد حملات سایبری مبتنی بر هوش مصنوعی ظرف 24 ماه افزایش خواهد یافت
Zach Anderson 1405/01/21 23:18
Anthropic دستورالعملهای امنیتی را منتشر میکند در حالی که پروژه Glasswing نشان میدهد مدلهای پیشرفته هوش مصنوعی اکنون میتوانند آسیبپذیریها را سریعتر از مدافعان انسانی پیدا و از آنها سوء استفاده کنند.
Anthropic این هفته ارزیابی جدی را منتشر کرد: ظرف دو سال، مدلهای هوش مصنوعی تعداد زیادی از آسیبپذیریهای نرمافزاری را که سالها در کد بدون توجه باقی ماندهاند کشف خواهند کرد - و آنها را به سوء استفادههای کاربردی تبدیل خواهند کرد. تیمهای امنیتی شرکت توصیههای دفاعی دقیقی را در کنار پروژه Glasswing منتشر کردند، ابتکار آنها برای استقرار قابلیتهای Claude Mythos Preview برای دفاع سایبری.
محاسبات اینجا پیچیده نیست. اگر مهاجمان بتوانند از مدلهای پیشرفته برای خودکارسازی کشف آسیبپذیری و تولید سوء استفاده استفاده کنند، بازه زمانی بین انتشار وصله و ظهور یک سوء استفاده کاربردی به طور چشمگیری کوتاه میشود. مهندسان امنیتی Anthropic این اتفاق را در آزمایشهای خود مشاهده کردهاند.
آنچه تحقیقات آنها واقعاً یافت
طبق یافتههای فنی Anthropic، مدلهای هوش مصنوعی در تشخیص امضاهای آسیبپذیریهای شناخته شده در سیستمهای بدون وصله عالی هستند. معکوس کردن یک وصله به یک سوء استفاده کاربردی - دقیقاً همان نوع تحلیل مکانیکی که این مدلها به خوبی انجام میدهند - قبلاً نیاز به مهارتهای تخصصی داشت. اکنون در حال خودکار شدن است.
شرکت خاطرنشان کرد که مدلهای در دسترس عموم زیر سطح قابلیت Mythos از قبل میتوانند آسیبپذیریهای جدی را که بررسیهای سنتی کد برای دورههای طولانی از دست دادهاند، پیدا کنند. آسیبپذیریهای Mozilla Firefox کشف شده از طریق اسکن هوش مصنوعی به عنوان یک نمونه مستند عمل میکنند.
برنامه دفاعی
توصیههای Anthropic اولویت را به کنترلهایی میدهد که حتی در برابر مهاجمان با صبر نامحدود و کمک هوش مصنوعی ثابت میمانند. اقدامات امنیتی مبتنی بر اصطکاک - گامهای محوری اضافی، محدودیت نرخ، پورتهای غیر استاندارد - وقتی دشمنان میتوانند به طور خودکار از مراحل خستهکننده عبور کنند، اثربخشی خود را از دست میدهند.
اولویتهای اصلی آنها:
سرعت وصله بیش از هر زمان دیگری اهمیت دارد. برنامههای کاربردی رو به اینترنت باید ظرف 24 ساعت پس از در دسترس قرار گرفتن یک سوء استفاده، وصله دریافت کنند. فهرست آسیبپذیریهای شناخته شده سوء استفاده شده CISA باید به عنوان یک صف اضطراری در نظر گرفته شود. Anthropic استفاده از EPSS (سیستم امتیازدهی پیشبینی سوء استفاده) را برای اولویتبندی همه چیزهای دیگر توصیه میکند.
برای 10 برابر حجم گزارش آسیبپذیری آماده شوید. طی دو سال آینده، فرآیندهای دریافت و تشخیص با فشاری مواجه خواهند شد که هرگز تجربه نکردهاند. سازمانهایی که هنوز جلسات هفتگی صفحه گسترده را اجرا میکنند نمیتوانند همگام شوند.
کد خود را با مدلهای پیشرفته قبل از مهاجمان اسکن کنید. این مهمترین توصیه Anthropic بود. کد قدیمی که از روشهای بررسی فعلی قدیمیتر است - به ویژه کدی که نویسندگان اصلی آن از آن دور شدهاند - هدف با ارزشترین برای اسکن پیشگیرانه را نشان میدهد.
اعتماد صفر واقعی میشود
راهنمایی به شدت به سمت اعتبارنامههای محدود به سختافزار و جداسازی خدمات مبتنی بر هویت سوق میدهد. یک سرور ساخت به خطر افتاده نباید به پایگاه دادههای تولید دسترسی داشته باشد. یک لپتاپ به خطر افتاده نباید به زیرساخت ساخت دست بزند.
کلیدهای API ثابت، اعتبارنامههای تعبیه شده و رمزهای عبور حساب سرویس مشترک به عنوان «از اولین چیزهایی که یک مهاجم با تحلیل کد به کمک مدل پیدا خواهد کرد» توصیف شدهاند.
برای عملیات کوچکتر
سازمانهای بدون تیمهای امنیتی اختصاصی مشاوره خاصی دریافت کردند: بهروزرسانیهای خودکار را در همه جا فعال کنید، خدمات مدیریت شده را به میزبانی خود ترجیح دهید، از کلیدهای عبور یا کلیدهای امنیتی سختافزاری استفاده کنید، و ابزارهای امنیتی رایگان از میزبانهای کد مانند Dependabot و CodeQL GitHub را روشن کنید.
نگهدارندگان منبع باز باید انتظار افزایش حجم گزارش آسیبپذیری را داشته باشند - برخی با ارزش، برخی نویز خودکار. انتشار یک SECURITY.md با فرآیندهای دریافت واضح کمک میکند سیگنال را از هرزنامه جدا کنید.
Anthropic متعهد شد که این راهنمایی را با پیشرفت پروژه Glasswing بهروزرسانی کند. برای شرکتهایی که انطباق SOC 2 و ISO 27001 را دنبال میکنند، بیشتر توصیهها مستقیماً به کنترلهای موجود نگاشت میشوند. تفاوت اکنون فوریت است.
منبع تصویر: Shutterstock- امنیت سایبری
- هوش مصنوعی
- anthropic
- claude
- امنیت سازمانی
