Эксперты компании Cloudflare изучили возможности передовой модели искусственного интеллекта Anthropic Mythos и оставили о ней самые положительные отзывы, хотя и оговорились, что надлежащие сценарии её применения ещё предстоит выработать.
Источник изображений: cloudflare.com
Cloudflare приняла участие в программе Anthropic Project Glasswing, в рамках которой ей предоставили доступ к Mythos. Цель программы — опередить использующих ИИ злоумышленников в обнаружении уязвимостей систем. Среди других участников программы значатся Amazon Web Services, Apple, Google, Microsoft и Nvidia — им Anthropic выделила кредиты на сумму до $100 млн, чтобы дать возможность изучить возможности Mythos. «Claude Mythos Preview — универсальная, ещё не выпущенная модель, которая раскрывает суровый факт: ИИ-модели достигли такого уровня в программировании, что могут превзойти всех, кроме самых опытных людей, в поиске и эксплуатации уязвимостей ПО. <..> Project Glasswing — оперативная попытка использовать эти возможности в целях защиты», — отметили в Cloudflare.
Mythos произвела на экспертов Cloudflare большое впечатление; компания признала, что это «настоящий шаг вперёд, <..> не просто усовершенствование того, что было прежде, <..> изменение Mythos состоит в том, что модель теперь может собирать эти ошибки невысокой степени угрозы (которые традиционно так и оставались бы невидимыми в списке невыполненных задач) и объединять их в один, более опасный эксплойт». В ходе тестирования Cloudflare выделила две наиболее важные функции Mythos: «построение цепочек эксплойтов», то есть способность интеллектуально объединять уязвимости в целостную схему атаки; и «генерацию доказательств», то есть фактическую демонстрацию работоспособности полученных результатов.
Эксперты компании также указали, что прочие специалисты не вполне корректно использовали преимущества Mythos, когда делали упор на скорости обнаружения уязвимостей, чтобы их быстро исправить. Она лучше раскрывает свои возможности, если применять её целенаправленно и поэтапно. Ей может быть непросто изучать большую базу кода целиком — эффективнее использовать её в узких областях, то есть запускать несколько ИИ-агентов под управлением Mythos, поручая каждому конкретную задачу.
Передовая ИИ-модель, считают в Cloudflare, показала, что и подход к исправлению уязвимостей теперь должен быть иным: «Более сложный вопрос состоит в том, как должна выглядеть архитектура вокруг уязвимости. Принцип в том, чтобы затруднить злоумышленнику [её] эксплуатацию даже при наличии ошибки, чтобы разрыв между моментом обнаружения уязвимости и моментом её исправления имел меньшее значение». В компании предлагают принять три меры защиты ПО в эпоху ИИ: усложнить гипотетическим злоумышленникам доступ к самим приложениям, используя внешние средства; проектировать ПО так, чтобы взлом одного его фрагмента не означал компрометации всей системы сразу; и, наконец, развёртывать обновления безопасности немедленно, а не ждать, когда каждая команда программистов доделает свою работу. В Cloudflare пообещали «в ближайшие недели» рассказать клиентам о том, как Mythos изменит их работу.