Love AI
New member
Anthropic cùng liên minh Project Glasswing dùng mô hình AI Claude Mythos để phát hiện lỗihổng phần mềm ở quy mô mà con người khó theo kịp. Hơn 99% lỗihổng tìm được chưa được vá, buộc các tổ chức phải chuyển hướng từ chỉ vá lỗi sang củng cố khả năng chống chịu.
Project Glasswing là một liên minh công nghiệp gồm Amazon, Apple, Google, Microsoft, Cisco và các bên khác, xây dựng quanh mô hình mạnh nhất của Anthropic, Claude Mythos Preview, với mục tiêu tìm và vá lỗihổng phần mềm quan trọng trước khi kẻ tấn công khai thác được.
Theo thử nghiệm của Anthropic, Mythos quét các hệ điều hành và trình duyệt lớn và phát hiện những lỗihổng ở quy mô và độ sâu mà kiểm tra thủ công và fuzzing đã bỏ sót. Một lỗihỏng trong OpenBSD tồn tại suốt 27 năm; Mythos còn khai thác được một lỗihổng thực thi mã từ xa 17 năm tuổi trong FreeBSD, cùng nhiều lỗi an toàn bộ nhớ trong kernel Linux và các ứng dụng web nổi tiếng. Anthropic cho biết hơn 99% những phát hiện này vẫn chưa được vá.
Mô hình an ninh truyền thống giả định rằng người phòng thủ có đủ thời gian để tìm lỗihổng, viết bản vá và triển khai trước khi kẻ tấn công khai thác. Khả năng phát hiện lỗihổng do AI hỗ trợ đang phá vỡ giả định đó: AI tìm lỗi nhanh hơn khả năng vá của đội bảo mật. Những gì Mythos tìm được trong một nỗ lực nghiên cứu sẽ đòi hàng nghìn năm công lao động để sửa và xác minh trên mọi tổ chức bị ảnh hưởng.
Nguy cơ còn tăng khi cùng năng lực AI có thể sinh ra exploit hoạt động cho các lỗihổng đó. Nếu kẻ tấn công tiếp cận các mô hình tương đương, họ sẽ biết chỗ hổng và có công cụ để nhanh chóng phát triển exploit, thu hẹp khoảng thời gian an toàn và nâng cao rủi ro cho mọi lỗihổng chưa được vá.
Các lỗian toàn bộ nhớ là phần đặc biệt đáng lo ngại: buffer overflow, use-after-free và ghi ngoài bộ đệm xuất hiện trong mã biên dịch thuộc hệ thống năng lượng, quốc phòng, giao thông và nhiều hạ tầng khác. AI giờ đã chứng minh khả năng tìm và xâu chuỗi các lỗi này thành exploit hoạt động.
Chuyển đổi tư duy từ "loại bỏ mọi lỗi" sang "xây dựng khả năng chịu đựng" sẽ giúp tổ chức sống sót khi AI tiếp tục mở rộng năng lực phát hiện lỗihổng. Project Glasswing đang cho phép những người phòng thủ có lợi thế sớm; những ai hành động ngay để củng cố phần mềm mà chưa thể vá sẽ an toàn hơn trong môi trường rủi ro ngày càng tăng này.
Nguồn: Techradar
Project Glasswing là một liên minh công nghiệp gồm Amazon, Apple, Google, Microsoft, Cisco và các bên khác, xây dựng quanh mô hình mạnh nhất của Anthropic, Claude Mythos Preview, với mục tiêu tìm và vá lỗihổng phần mềm quan trọng trước khi kẻ tấn công khai thác được.
Theo thử nghiệm của Anthropic, Mythos quét các hệ điều hành và trình duyệt lớn và phát hiện những lỗihổng ở quy mô và độ sâu mà kiểm tra thủ công và fuzzing đã bỏ sót. Một lỗihỏng trong OpenBSD tồn tại suốt 27 năm; Mythos còn khai thác được một lỗihổng thực thi mã từ xa 17 năm tuổi trong FreeBSD, cùng nhiều lỗi an toàn bộ nhớ trong kernel Linux và các ứng dụng web nổi tiếng. Anthropic cho biết hơn 99% những phát hiện này vẫn chưa được vá.
Mô hình an ninh truyền thống giả định rằng người phòng thủ có đủ thời gian để tìm lỗihổng, viết bản vá và triển khai trước khi kẻ tấn công khai thác. Khả năng phát hiện lỗihổng do AI hỗ trợ đang phá vỡ giả định đó: AI tìm lỗi nhanh hơn khả năng vá của đội bảo mật. Những gì Mythos tìm được trong một nỗ lực nghiên cứu sẽ đòi hàng nghìn năm công lao động để sửa và xác minh trên mọi tổ chức bị ảnh hưởng.
Nguy cơ còn tăng khi cùng năng lực AI có thể sinh ra exploit hoạt động cho các lỗihổng đó. Nếu kẻ tấn công tiếp cận các mô hình tương đương, họ sẽ biết chỗ hổng và có công cụ để nhanh chóng phát triển exploit, thu hẹp khoảng thời gian an toàn và nâng cao rủi ro cho mọi lỗihổng chưa được vá.
Các lỗian toàn bộ nhớ là phần đặc biệt đáng lo ngại: buffer overflow, use-after-free và ghi ngoài bộ đệm xuất hiện trong mã biên dịch thuộc hệ thống năng lượng, quốc phòng, giao thông và nhiều hạ tầng khác. AI giờ đã chứng minh khả năng tìm và xâu chuỗi các lỗi này thành exploit hoạt động.
Đề xuất phản ứng
- Thừa nhận tồn đọng vá lỗi là thực tế và ưu tiên xử lý theo khả năng khai thác (exploitability), chứ không chỉ theo điểm mức độ nghiêm trọng.
- Kiểm toán mã nguồn cũ để tìm các thành phần không an toàn bộ nhớ, ưu tiên những phần mở mạng hoặc xử lý dữ liệu không tin cậy.
- Triển khai các biện pháp bảo vệ thời gian chạy (runtime protections) và hardening nhị phân cho phần mềm không thể viết lại hay thay thế nhanh chóng.
- Xây dựng quy trình khắc phục tập trung vào giảm khả năng khai thác—giảm điểm tựa để biến lỗi thành vi phạm—thay vì chỉ cố gắng loại bỏ mọi lỗi ngay lập tức.
- Tăng cường năng lực phát hiện exploit và kiểm chứng bản vá để rút ngắn thời gian phản ứng thực tế.
Chuyển đổi tư duy từ "loại bỏ mọi lỗi" sang "xây dựng khả năng chịu đựng" sẽ giúp tổ chức sống sót khi AI tiếp tục mở rộng năng lực phát hiện lỗihổng. Project Glasswing đang cho phép những người phòng thủ có lợi thế sớm; những ai hành động ngay để củng cố phần mềm mà chưa thể vá sẽ an toàn hơn trong môi trường rủi ro ngày càng tăng này.
Nguồn: Techradar
Bài viết liên quan
