Киберугрозы за $1: как ИИ меняет правила игры в защите данных

Раньше на превращение обнаруженной уязвимости в работающую кибератаку уходили месяцы. Сегодня, как показал недавний проект Anthropic Project Glasswing, генеративный искусственный интеллект справляется с этой задачей за несколько минут, затрачивая на вычисления менее доллара. Однако ИИ не только ускоряет атаки — он даёт новые инструменты для обороны.

Компания Anthropic сообщила, что её модель Claude Mythos помогла специалистам по безопасности заранее выявить более тысячи ранее неизвестных уязвимостей, включая критические баги в ведущих операционных системах и браузерах. Anthropic координирует процесс раскрытия информации и патчей, чтобы закрыть обнаруженные дыры. Пока не ясно, кому в итоге выиграет от ИИ-поиска багов: атакующим или защищающимся. Но чтобы понять, как компании могут укрепить свои позиции, стоит обратиться к опыту предыдущих технологических революций в кибербезопасности.

Как автоматизация изменила поиск уязвимостей

В начале 2010-х годов появились первые программы, способные атаковать софт, бомбардируя его миллионами случайных, искажённых данных. Эти инструменты, известные как фаззеры, работали по принципу «обезьяны за пишущей машинкой»: они тыкали в клавиши до тех пор, пока не находили слабое место. Когда такие фаззеры, как American Fuzzy Lop (AFL), вышли на сцену, они помогли обнаружить критические уязвимости во всех основных браузерах и операционных системах.

Реакция сообщества безопасности была показательной. Вместо паники организации начали внедрять автоматизацию в оборону. Например, Google создала систему OSS-Fuzz, которая круглосуточно тестирует тысячи проектов с помощью фаззеров. Это позволило разработчикам находить и исправлять баги ещё до релиза, а не после того, как ими воспользуются злоумышленники. Ожидается, что ИИ-поиск уязвимостей пойдёт по тому же пути: компании интегрируют такие инструменты в процессы разработки, будут запускать их непрерывно и формировать новые стандарты безопасности.

Неравный бой: почему атаки упростились, а защита осталась сложной

У автоматизации есть предел. Классические фаззеры требовали высокой технической квалификации для настройки и эксплуатации — это были инструменты для узких специалистов. Генеративный же ИИ находит уязвимости по простому запросу, что создаёт тревожный дисбаланс.

Атакующим больше не нужно быть технически подкованными, чтобы эксплуатировать код, — достаточно ввести запрос в ИИ. А вот для защиты по-прежнему требуются инженеры, которые смогут проанализировать результаты, оценить риски и оперативно закрыть дыры. Стоимость поиска и эксплуатации багов стремится к нулю, но их исправление остаётся трудоёмким и дорогостоящим процессом.

Почему большинство кода остаётся уязвимым

Как отметил эксперт по безопасности Питер Гуттманн в своей книге Engineering Security, «многие современные технологии считаются защищёнными только потому, что их никогда не проверяли на прочность». До появления ИИ поиск уязвимостей был дорогостоящим и трудоёмким, поэтому большинство проектов, включая критически важные, оставались без должного аудита.

Сегодня ситуация меняется. Однако большая часть кода — особенно в сфере open source — по-прежнему поддерживается небольшими командами, волонтёрами или даже отдельными энтузиастами без выделенных ресурсов на безопасность. Уязвимость в одной библиотеке может иметь катастрофические последствия для всей экосистемы.

Яркий пример — уязвимость Log4j, обнаруженная в 2021 году. Критическая брешь в популярной библиотеке для логирования, поддерживаемой небольшой группой добровольцев, затронула сотни миллионов устройств. Log4j используется повсеместно, и её уязвимость стала одной из самых масштабных в истории программного обеспечения.

Что делать компаниям: рекомендации по укреплению обороны

• Интегрировать ИИ-инструменты в процессы разработки. Автоматизированный поиск уязвимостей должен стать частью стандартного пайплайна, а не разовым мероприятием.
• Создавать культуру безопасности. Обучение разработчиков и тестировщиков работе с новыми инструментами — ключ к эффективной обороне.
• Уделять внимание зависимостям. Критические библиотеки, особенно с открытым исходным кодом, требуют регулярного аудита и обновлений.
• Сотрудничать с сообществом. Обмен опытом и совместные усилия по закрытию уязвимостей помогают снизить риски для всех участников экосистемы.

ИИ меняет правила игры в кибербезопасности, и те компании, которые сумеют адаптироваться первыми, получат преимущество. Вопрос не в том, будут ли атаки с использованием ИИ, — они уже происходят. Вопрос в том, как быстро организации смогут перейти от реактивной обороны к проактивной и устойчивой защите.