وطن نيوز
أنثروبي قال لها أداة الذكاء الاصطناعي الجديدة Mythos، فهو جيد جدًا في العثور على نقاط الضعف في البرامج وأنظمة الكمبيوتر بحيث لا يمكن نشره لعامة الناس.
أصدرت شركة الذكاء الاصطناعي العملاقة Mythos إلى 200 مؤسسة شريكة فقط لأنه إذا وقعت أداة بهذه القوة في الأيدي الخطأ، كما تقول Anthropic، فإنها يمكن أن تساعد المهاجمين على سرقة البيانات بسهولة أكبر أو تعطيل البنية التحتية الحيوية.
وعلى الرغم من الاحتياطات التي اتخذتها شركة أنثروبيك، أمرت إدارة الرئيس الأمريكي دونالد ترامب الشركة في 12 يونيو/حزيران الماضي بذلك إبقاء نماذجها الأكثر تقدمًا بعيدًا عن أيدي جميع المواطنين الأجانب داخل الولايات المتحدة وخارجها.
ولضمان الامتثال، قامت Anthropic منذ ذلك الحين بإغلاق وصول جميع العملاء إلى Mythos 5 وFable 5، وهي نسخة من Mythos التي منعتها الشركة من تنفيذ مهام الأمن السيبراني.
وقالت Anthropic إنها تعتقد أن الحكومة الأمريكية أصدرت الأمر بعد اكتشاف أنه من الممكن “كسر الحماية” أو تجاوز حواجز الحماية للعبة Fable 5.
على مدى السنوات القليلة الماضية، وعدت شركات الأمن السيبراني بأن الذكاء الاصطناعي سوف يسرع ويؤتمت بعض أعمال منع الخروقات الرقمية.
لكن المتسللين والجواسيس الإلكترونيين اكتشفوا مزايا الذكاء الاصطناعي أيضًا.
وقد تم التأكيد على هذا الخطر عندما تمكنت مجموعة صغيرة من المستخدمين غير المصرح لهم في منتدى خاص عبر الإنترنت من الوصول إلى Mythos في أبريلوفقًا لشخص مطلع على الأمر والوثائق التي اطلعت عليها بلومبرج نيوز.
إن ظهور Mythos والنماذج المشابهة التي يمكنها استغلال العيوب المخفية في البرامج الشائعة دون إشراف بشري يشير إلى مرحلة أسرع حركة وأقل قابلية للتنبؤ بها من سباق التسلح السيبراني.
Claude Mythos Preview هو نموذج ذكاء اصطناعي للأغراض العامة تقول Anthropic إنه يتفوق بشكل كبير على العروض السابقة في مجموعة من المعايير، بما في ذلك البرمجة والاستدلال.
وأوضحت الشركة أن بعض نماذج الذكاء الاصطناعي وصلت إلى مستوى من القدرة على البرمجة يسمح لها بالتغلب على الجميع باستثناء البشر الأكثر مهارة في العثور على ثغرات البرمجيات واستغلالها.
وفقًا لـ Anthropic، وجدت Mythos Preview بالفعل الآلاف من نقاط الضعف “Zero-day” أثناء الاختبار، بما في ذلك في كل نظام تشغيل رئيسي وكل متصفح ويب رئيسي.
“الأيام الصفرية” هي عيوب لم تكن معروفة من قبل لمطوري البرنامج – الاسم يعني أن لديهم صفر أيام للتوصل إلى تصحيح لحل المشكلة.
غالبًا ما تمثل هذه منجم ذهب للمتسللين لأنها توفر نافذة من الحرية داخل الأنظمة الضعيفة.
وقال أنثروبيك إن ميثوس كانت قادرة على التعرف على هذه العناصر بتدخل بشري أقل من النماذج السابقة.
وقالت الشركة: “تُظهر Mythos Preview قفزة في هذه المهارات السيبرانية – فنقاط الضعف التي رصدتها قد نجت في بعض الحالات من عقود من المراجعة البشرية وملايين الاختبارات الأمنية الآلية”.
إذا وقعت هذه الأداة في أيدي عصابة برامج الفدية أو الحكومات المعادية، فقد تؤدي إلى المزيد من الهجمات الإلكترونية المدمرة والمتكررة.
يقول الباحثون إنه لم يتم منحهم إمكانية الوصول بشكل مستقل للتحقق من ادعاءات Anthropic حول أداء Mythos.
قال جانج وانج، الأستاذ المشارك في علوم الكمبيوتر بجامعة إلينوي، إنه من الصعب تقييم أهمية Mythos Preview دون إجراء المزيد من الاختبارات العملية.
في أبريل/نيسان، منحت شركة أنثروبيك إمكانية الوصول إلى مجموعة محدودة من الشركاء الذين تم فحصهم، وهي مبادرة أطلقت عليها اسم “مشروع غلاسوينغ”، على اسم نوع من الفراشات ذات أجنحة شفافة تسمح لها بالاختباء على مرأى من الجميع.
ومن بين المشاركين الأساسيين: Amazon.com، وApple، وAlphabet Google، وMicrosoft، وNvidia، وPalo Alto Networks، وCrowdStrike Holdings، وBroadcom، وCisco Systems، وJPMorganChase، ومؤسسة Linux، وهي مؤسسة غير ربحية تدعم مشاريع البرمجيات مفتوحة المصدر.
وسرعان ما وسعت نطاق الوصول إلى حوالي 40 منظمة أخرى.
ووصفت أنثروبيك المشروع بأنه “محاولة عاجلة لتشغيل هذه القدرات لأغراض دفاعية”.
وفي أوائل شهر يونيو، بدأت الشركة في توسيع مشروع Glasswing ليشمل 150 مؤسسة إضافية.
وعلى الرغم من رفض Anthropic تسمية المشاركين الإضافيين، إلا أنها قالت إن المجموعة تضم شركات ومؤسسات غير ربحية تنتج أكواد برمجة رئيسية للاستخدام على نطاق أوسع.
إذا توصلت أنثروبيك إلى حل مع إدارة ترامب واستعادت الوصول إلى ميثوس، فستستخدم هذه المنظمات النموذج كجزء من عملها الأمني الدفاعي.
تستخدم العديد من الشركات بالفعل ما يسمى بتمارين الاختراق، حيث تقوم بتعيين متخصصين لفحص أنظمتها بحثًا عن الأخطاء حتى يتمكنوا من إصلاحها قبل دخول المتسللين.
يمكن أن تتيح Mythos للشركات تعزيز هذه العملية، مما يسمح لها بالعثور على المزيد من العيوب بسرعة أكبر وتضييق فرص الهجمات المحتملة.
وصف أنثروبيك Mythos Preview بأنه “لحظة فاصلة للأمن”.
وبحكم طبيعتها، يصعب العثور على ثغرات يوم الصفر، وقد تم بناء صناعة صغيرة وغامضة حول العثور عليها وبيعها لوكالات الاستخبارات الحكومية، أحيانًا بملايين الدولارات.
وفقًا لـ Anthropic، كانت نقاط الضعف التي وجدتها Mythos Preview في كثير من الأحيان “دقيقة ويصعب اكتشافها” وتضمنت عيبًا عمره 27 عامًا في OpenBSD، وهو نظام تشغيل تقول Anthropic إنه يتمتع بسمعة طيبة باعتباره واحدًا من أكثر الأنظمة الأمنية تشددًا في العالم.
وقالت أنثروبيك يوم 22 مايو إنه منذ إطلاق Mythos، تم استخدام البرنامج للعثور على أكثر من 10000 نقطة ضعف خطيرة.
يُزعم أيضًا أن Mythos كان قادرًا على تحويل الثغرات الأمنية المعروفة ولكن لم يتم تصحيحها على نطاق واسع إلى “برامج استغلال” يمكن للمتسللين استخدامها لاختراق شبكات الكمبيوتر.
على سبيل المثال، عثرت على عدة عيوب في نواة Linux وربطتها ببعضها البعض – وهو جوهر نظام التشغيل والبرمجيات التي تدير معظم خوادم الإنترنت في العالم – للسماح للمهاجم بالسيطرة الكاملة على الجهاز.
وقالت Anthropic إن غير الخبراء طلبوا أيضًا من Mythos Preview إيجاد طرق للتحكم عن بعد في أجهزة الكمبيوتر بين عشية وضحاها وعادوا في صباح اليوم التالي لتحقيق استغلال كامل وعملي.
Mythos هي واحدة من أدوات الذكاء الاصطناعي العديدة الجديدة القادرة على العثور على أيام صفرية أو إنشاء ثغرات.
تم تطوير Codex Security من OpenAI و”Big Sleep Agent” من Google للعثور على الثغرات الأمنية.
أفاد موقع Axios أن OpenAI تعمل أيضًا على وضع اللمسات النهائية على منتج يتمتع بقدرات متقدمة للأمن السيبراني وتعتزم إصداره لشركاء محددين.
وفي الوقت نفسه، يقول الباحثون في شركة إسرائيلية ناشئة للأمن السيبراني تدعى Buzz، إنهم قاموا ببناء أداة مستقلة تجمع بين خمسة عملاء للذكاء الاصطناعي حققت معدل نجاح بنسبة 98 في المائة في استغلال العيوب المعروفة.
الضمانات هي عمل مستمر، وفقا ل الأنثروبيك.
وكتبت أنثروبيك: “لقد رأينا أنها تصل إلى مستويات غير مسبوقة من الموثوقية والمواءمة”، مما يعني أنها تتوافق مع ما يريده البشر. “ومع ذلك، في حالات نادرة، عندما تفشل أو تتصرف بشكل غريب، رأيناها تتخذ إجراءات نجدها مثيرة للقلق للغاية.”
في إحدى الحالات، حث أحد الباحثين نسخة مبكرة من Mythos على محاولة الهروب من جهاز كمبيوتر آمن ومعزول ومن ثم إيجاد طريقة لإرسال رسالة إلى ذلك الشخص.
نجحت الأداة ولكنها استمرت بعد ذلك في اتخاذ “إجراءات إضافية وأكثر إثارة للقلق”، وتطوير استغلال متعدد الخطوات للوصول إلى الإنترنت.
قالت Anthropic إنها لا تخطط لجعل Mythos Preview متاحًا بشكل عام، نظرًا لاحتمال إساءة استخدامه.
ومع ذلك، تأمل الشركة في نهاية المطاف في تمكين المستخدمين من نشر “نماذج من فئة ميثوس” على نطاق واسع.
وقالت: “للقيام بذلك، نحتاج إلى إحراز تقدم في تطوير ضمانات الأمن السيبراني (وغيرها) التي تكتشف وتمنع أخطر مخرجات النموذج”.
بالنسبة للأخطاء الأكثر خطورة التي وجدتها Mythos، يشارك البشر: يقوم المتخصصون بالتحقق من صحة هذه الاكتشافات قبل إرسال المعلومات إلى الأشخاص الذين يحتفظون بالرمز، وفقًا لـ Anthropic.
وقال وانغ من جامعة إلينوي: إنها عملية ضرورية ولكنها تستغرق وقتًا طويلاً، ولكن قد يتم التخلص منها في النهاية مع تحسن النموذج.
ربما، ولكن قد يستغرق الأمر بعض الوقت.
يمكن أن تكون عملية Anthropic للكشف عن العيوب للأشخاص الذين يقومون بصيانة البرامج أو أنظمة الكمبيوتر طويلة.
قالت الشركة في 22 مايو، إنه حتى الآن، تم تصحيح حوالي 14 في المائة من “الأخطاء العالية أو الخطيرة” التي كشفت عنها Mythos Preview.
وفي الوقت نفسه، يستخدم المتسللون الذكاء الاصطناعي لتسريع بشكل كبير مدى سرعة العثور على نقاط الضعف واستغلالها بمجرد الكشف عنها. (يتم تشجيع البائعين، وفي بعض الحالات يُطلب منهم، الكشف علنًا عن الثغرات الأمنية بمجرد اكتشافها، ومن الأفضل توفير الإصلاح.)
وهذا يمنح محترفي الإنترنت وقتًا أقل لتصحيح شبكاتهم.
وفي تدوينة بتاريخ 30 مارس، حذر نيكيش أرورا، الرئيس التنفيذي لشركة بالو ألتو نتوركس، من أن حاجز الهجمات المتطورة سيستمر في التضاؤل خلال الأشهر الستة المقبلة.
وكتب: “سيتمكن الآن ممثل سيء واحد من إدارة حملات تتطلب فرقًا بأكملها”.
وقال يائير سابان، الرئيس التنفيذي لشركة Buzz والخبير المخضرم في الوحدة الإلكترونية 8200 الإسرائيلية، إن الأمر استغرق ستة مهندسين ثلاثة أسابيع لبناء أداة القرصنة التي تعمل بالذكاء الاصطناعي.
وقال إن آخرين، بما في ذلك جواسيس الإنترنت التابعين للدول القومية والمتسللين المجرمين، يمكنهم بالتأكيد أن يفعلوا الشيء نفسه.
تؤكد Anthropic أن Mythos Preview وأدوات الذكاء الاصطناعي الأخرى المشابهة لها ستفضل المدافعين في النهاية.
وقال فريق Frontier Red التابع للشركة في مدونة بتاريخ 7 أبريل: “على المدى الطويل، نتوقع أن تهيمن القدرات الدفاعية: وأن العالم سيخرج أكثر أمانًا، مع برمجيات أكثر صلابة – إلى حد كبير من خلال التعليمات البرمجية المكتوبة بواسطة هذه النماذج”. لكن الفترة الانتقالية ستكون محفوفة بالمخاطر”. بلومبرج
