Автоматизированное обнаружение уязвимостей с помощью ИИ меняет баланс затрат в корпоративной безопасности, который раньше был выгоден злоумышленникам.
Полное устранение эксплойтов долгое время казалось недостижимой задачей. Главный подход заключался в том, чтобы сделать атаки настолько дорогими, чтобы их могли позволить себе лишь противники с огромными ресурсами, что отпугивало любителей.
Недавняя проверка инженерной команды Mozilla Firefox с использованием Claude Mythos Preview от Anthropic ставит под сомнение этот устоявшийся взгляд.
В первой оценке с Claude Mythos Preview разработчики Firefox обнаружили и устранили 271 уязвимость для релиза версии 150. Это стало продолжением прошлого сотрудничества с Anthropic на базе Opus 4.6, когда в версии 148 починили 22 проблемы, критичные для безопасности.
Одновременное выявление сотен уязвимостей сильно нагружает ресурсы команды. Но в условиях жестких регуляций усилия по предотвращению утечек данных или атак вымогателей быстро окупаются. Автоматическое сканирование снижает расходы: системы постоянно сверяют код с базами известных угроз, так что компании могут отказаться от дорогих внешних экспертов.
Преодоление расходов на вычисления и сложностей интеграции
Внедрение передовых ИИ-моделей в существующие конвейеры непрерывной интеграции требует учета серьезных затрат на вычисления. Пропуск миллионов токенов проприетарного кода через модель вроде Claude Mythos Preview предполагает выделенные инвестиции. Компаниям приходится создавать защищенные векторные базы данных для работы с контекстными окнами огромных кодовых баз, строго изолируя корпоративную логику.
Проверка результатов тоже требует тщательной борьбы с галлюцинациями. Если модель выдает ложные срабатывания по уязвимостям, это тратит время дорогих инженеров. Поэтому в конвейере внедрения выводы модели сверяют со статическим анализом и результатами фаззинга для подтверждения.
Автоматизированное тестирование безопасности сильно зависит от динамического анализа, в частности фаззинга, который проводят внутренние красные команды. Фаззинг работает отлично, но не справляется с некоторыми участками кода. Топовые исследователи безопасности обходят эти ограничения, вручную разбирая исходники в поисках логических ошибок. Такой ручной труд занимает много времени и ограничен нехваткой квалифицированных специалистов.
Передовые модели снимают это человеческое ограничение. Компьютеры, которые еще недавно не умели этого, теперь мастерски анализируют код. Mythos Preview достиг уровня лучших специалистов по безопасности. Инженеры отметили: нет ни одной категории или уровня сложности ошибок, которые люди находят, а модель — нет. Приятно, что модель не выдает баги, недоступные элитным исследователям.
Переход на языки с безопасным управлением памятью вроде Rust помогает против типичных классов уязвимостей, но остановка разработки для замены многолетнего legacy-кода на C++ финансово нецелесообразна для большинства фирм. Инструменты автоматического анализа предлагают дешевый способ защитить старые кодовые базы без полной перестройки системы.
Устранение ограничений человеческого обнаружения
Большой разрыв между тем, что находят машины, и тем, что видят люди, дает преимущество нападающим. Злоумышленники могут сосредоточить месяцы усилий экспертов на одной уязвимости. Сокращение этого разрыва делает поиск дешевой, подрывая долгосрочное превосходство атакующих. Первая волна находок пугает в краткосрочной перспективе, но для защиты предприятий это хорошие новости.
Поставщики ключевого ПО, доступного из интернета, держат специальные команды для охраны пользователей. По мере того как другие техкомпании берут на вооружение похожие методы, стандарт ответственности за софт изменится. Если модели надежно ловят логические дефекты, отказ от таких инструментов скоро сочтут корпоративной халатностью.
Важно, что эти системы не придумывают новые типы атак, выходящие за рамки понимания. Приложения вроде Firefox строят модульно, чтобы люди могли проверять корректность. Софт сложный, но не бесконечно хаотичный. Ошибок в нем конечное число.
Применяя продвинутые автоматические аудиты, лидеры IT могут эффективно противостоять постоянным угрозам. Первоначальный поток данных требует перераспределения усилий инженеров. Но команды, вложившиеся в исправления, выйдут на положительный результат. Отрасль движется к эпохе, где защитники получат явное преимущество.