وطن نيوز
قالت Anthropic PBC إن أداة الذكاء الاصطناعي الجديدة Mythos قوية للغاية بحيث لا يمكن نشرها لعامة الناس.
ووصف عملاق الذكاء الاصطناعي النموذج بأنه جيد جدًا في العثور على نقاط الضعف في البرامج وأنظمة الكمبيوتر، بحيث لن يتم إصداره إلا لعدد محدود من الأطراف المختارة بعناية. تقول Anthropic إنه إذا وقعت أدوات مثل Mythos في الأيدي الخطأ، فإنها يمكن أن تزود المهاجمين بسلاح جديد قوي لسرقة البيانات أو تعطيل البنية التحتية الحيوية.
وقد تم التأكيد على هذا الخطر عندما اجتمعت مجموعة صغيرة من المستخدمين غير المصرح لهم في منتدى خاص عبر الإنترنت تمكنت من الوصول إلى ميثوسوفقًا لشخص مطلع على الأمر والوثائق التي اطلعت عليها بلومبرج نيوز.
حصلت المجموعة على إمكانية الوصول في نفس اليوم الذي أعلنت فيه Anthropic لأول مرة عن خطتها لإصدار النموذج لعدد قليل من الشركات لأغراض الاختبار.
على مدى السنوات القليلة الماضية، وعدت شركات الأمن السيبراني بأن الذكاء الاصطناعي سوف يسرع ويؤتمت بعض أعمال منع الخروقات الرقمية.
لكن المتسللين والجواسيس الإلكترونيين اكتشفوا مزايا الذكاء الاصطناعي أيضًا. ويشير ظهور “ميثوس” والنماذج المشابهة لها، والتي يمكنها استغلال العيوب المخفية في البرامج الشائعة دون إشراف بشري، إلى مرحلة أسرع حركة وأقل قابلية للتنبؤ بها من سباق التسلح السيبراني.
Claude Mythos Preview هو نموذج ذكاء اصطناعي للأغراض العامة تقول Anthropic إنه يتفوق بشكل كبير على العروض السابقة في مجموعة من المعايير، بما في ذلك البرمجة والاستدلال.
وأوضحت الشركة أن بعض نماذج الذكاء الاصطناعي وصلت إلى مستوى من القدرة على البرمجة يسمح لها بالتغلب على الجميع باستثناء البشر الأكثر مهارة في العثور على ثغرات البرمجيات واستغلالها.
وفقًا لـ Anthropic، وجدت Mythos Preview بالفعل الآلاف من نقاط الضعف “Zero-day” أثناء الاختبار، بما في ذلك في كل نظام تشغيل رئيسي وكل متصفح ويب رئيسي.
“الأيام الصفرية” هي عيوب لم تكن معروفة من قبل لمطوري البرنامج – الاسم يعني أن لديهم صفر أيام للتوصل إلى تصحيح لحل المشكلة. غالبًا ما تمثل هذه منجم ذهب للمتسللين لأنها توفر نافذة من الحرية داخل الأنظمة الضعيفة.
وقال أنثروبيك إن ميثوس كانت قادرة على التعرف على هذه العناصر بتدخل بشري أقل من النماذج السابقة. وقالت الشركة: “تُظهر Mythos Preview قفزة في هذه المهارات السيبرانية – فنقاط الضعف التي رصدتها قد نجت في بعض الحالات من عقود من المراجعة البشرية وملايين الاختبارات الأمنية الآلية”.
في أيدي عصابة برامج الفدية أو الحكومات المعادية، مثل هذه الأداة يمكن أن يؤدي إلى المزيد من الهجمات الإلكترونية المدمرة والمتكررة.
يقول الباحثون إنه لم يتم منحهم إمكانية الوصول بشكل مستقل للتحقق من ادعاءات Anthropic حول أداء Mythos. قال الأستاذ المساعد لعلوم الكمبيوتر جانج وانج في جامعة إلينوي إنه من الصعب تقييم أهمية Mythos Preview دون المزيد من الاختبارات العملية.
تطلق شركة Anthropic على خطتها لمنح الوصول إلى مجموعة محدودة من الشركاء الذين تم فحصهم اسم Project Glasswing، على اسم نوع من الفراشات بأجنحة شفافة تسمح لها بالاختباء على مرأى من الجميع.
ومن بين المشاركين أمازون، وأبل، وألفابت جوجل، ومايكروسوفت، ونفيديا، وبالو ألتو نتوركس، وكراود سترايك هولدنجز، وبرودكوم، وسيسكو سيستمز، وجي بي مورجان تشيس، ومؤسسة لينكس، وهي منظمة غير ربحية تدعم مشاريع البرمجيات مفتوحة المصدر. ووصفت أنثروبيك المشروع بأنه “محاولة عاجلة لتشغيل هذه القدرات لأغراض دفاعية”.
ستستخدم هذه المنظمات Mythos كجزء من عملها الأمني الدفاعي، وتخطط Anthropic لمشاركة نتائج المشروع حتى يتمكن الآخرون من الاستفادة.
وتستخدم العديد من الشركات بالفعل ما يسمى بتمارين الاختراق، حيث تقوم بتعيين متخصصين لفحص أنظمتها بحثاً عن الأخطاء حتى يتمكنوا من إصلاحها قبل دخول المتسللين. ومن الممكن أن تسمح الأساطير للشركات بتعزيز هذه العملية، مما يسمح لها بالعثور على المزيد من العيوب بسرعة أكبر وتضييق فرص الهجمات المحتملة.
وصفت أنثروبيك Mythos Preview بأنها “لحظة فاصلة للأمن”. بحكم طبيعتها، يصعب العثور على ثغرات يوم الصفر، وقد تم بناء صناعة صغيرة وغامضة حول العثور عليها وبيعها لوكالات الاستخبارات الحكومية، غالبًا مقابل ملايين الدولارات.
وفقًا لـ Anthropic، كانت نقاط الضعف التي وجدتها Mythos Preview في كثير من الأحيان “دقيقة ويصعب اكتشافها” وتضمنت عيبًا عمره 27 عامًا في OpenBSD، وهو نظام تشغيل تقول Anthropic إنه يتمتع بسمعة طيبة باعتباره واحدًا من أكثر الأنظمة الأمنية تشددًا في العالم.
يُزعم أيضًا أن Mythos كان قادرًا على تحويل الثغرات الأمنية المعروفة ولكن لم يتم تصحيحها على نطاق واسع إلى “برامج استغلال” يمكن للمتسللين استخدامها لاختراق شبكات الكمبيوتر. على سبيل المثال، عثرت على عدة عيوب في نواة Linux وربطتها ببعضها البعض – وهو جوهر نظام التشغيل والبرمجيات التي تدير معظم خوادم الإنترنت في العالم – للسماح للمهاجم بالسيطرة الكاملة على الجهاز.
وقالت Anthropic إن غير الخبراء طلبوا أيضًا من Mythos Preview إيجاد طرق للتحكم عن بعد في أجهزة الكمبيوتر بين عشية وضحاها وعادوا في صباح اليوم التالي لتحقيق استغلال كامل وعملي.
Mythos هي واحدة من أدوات الذكاء الاصطناعي العديدة الجديدة القادرة على العثور على أيام صفرية أو إنشاء ثغرات. تم تطوير Codex Security من OpenAI و”Big Sleep Agent” من Google للعثور على الثغرات الأمنية. أفاد موقع Axios أن OpenAI تعمل أيضًا على وضع اللمسات النهائية على منتج يتمتع بقدرات متقدمة للأمن السيبراني وتعتزم إصداره لشركاء محددين.
وفي الوقت نفسه، يقول الباحثون في شركة إسرائيلية ناشئة للأمن السيبراني تدعى Buzz، إنهم قاموا ببناء أداة مستقلة تجمع بين خمسة عملاء للذكاء الاصطناعي تتمتع بمعدل نجاح يصل إلى 98% في استغلال العيوب المعروفة.
الضمانات هي عمل مستمر، وفقا ل الأنثروبيك. وكتبت أنثروبيك: “لقد رأينا أنها تصل إلى مستويات غير مسبوقة من الموثوقية والمواءمة”، مما يعني أنها تتوافق مع ما يريده البشر. “ومع ذلك، في حالات نادرة، عندما تفشل أو تتصرف بشكل غريب، رأيناها تتخذ إجراءات نجدها مثيرة للقلق للغاية.”
في إحدى الحالات، حث أحد الباحثين نسخة مبكرة من Mythos على محاولة الهروب من جهاز كمبيوتر آمن ومعزول ومن ثم إيجاد طريقة لإرسال رسالة إلى ذلك الشخص. نجحت الأداة ولكنها استمرت بعد ذلك في اتخاذ “إجراءات إضافية وأكثر إثارة للقلق”، وتطوير استغلال متعدد الخطوات للوصول إلى الإنترنت.
قالت Anthropic إنها لا تخطط لجعل Mythos Preview متاحًا بشكل عام، نظرًا لاحتمال إساءة استخدامه. ومع ذلك، تأمل الشركة في نهاية المطاف في تمكين المستخدمين من نشر “نماذج من فئة Mythos” على نطاق واسع لأغراض الأمن السيبراني واستخدامات أخرى.
وقالت: “للقيام بذلك، نحتاج إلى إحراز تقدم في تطوير ضمانات الأمن السيبراني (وغيرها) التي تكتشف وتمنع أخطر مخرجات النموذج”.
بالنسبة للأخطاء الأكثر خطورة التي وجدتها Mythos، يشارك البشر: يقوم المتخصصون بالتحقق من صحة هذه الاكتشافات قبل إرسال المعلومات إلى الأشخاص الذين يحتفظون بالرمز، وفقًا لـ Anthropic. وقال الدكتور وانغ من جامعة إلينوي: إنها عملية ضرورية ولكنها تستغرق وقتًا طويلاً، ولكن قد يتم التخلص منها في النهاية مع تحسن النموذج.
ربما، ولكن قد يستغرق الأمر بعض الوقت. يمكن أن تكون عملية Anthropic للكشف عن العيوب للأشخاص الذين يقومون بصيانة البرامج أو أنظمة الكمبيوتر طويلة. وقالت الشركة إنه حتى الآن، تم تصحيح أقل من 1% من نقاط الضعف المحتملة التي كشفت عنها Mythos Preview بالكامل.
وفي الوقت نفسه، يستخدم المتسللون الذكاء الاصطناعي لتسريع بشكل كبير مدى سرعة العثور على نقاط الضعف واستغلالها بمجرد الكشف عنها.
يتم تشجيع البائعين، وفي بعض الحالات، يُطلب منهم الكشف علنًا عن نقاط الضعف بمجرد اكتشافها، وتوفير الإصلاح بشكل مثالي. وهذا يمنح محترفي الإنترنت وقتًا أقل لتصحيح شبكاتهم.
وفي تدوينة بتاريخ 30 مارس، حذر نيكيش أرورا، الرئيس التنفيذي لشركة Palo Alto Networks، من أن حاجز الهجمات المتطورة سيستمر في التضاؤل خلال الأشهر الستة المقبلة. وكتب: “سيتمكن الآن ممثل سيء واحد من إدارة حملات تتطلب فرقًا بأكملها”.
وقال يائير سابان، الرئيس التنفيذي لشركة Buzz، وهو من قدامى المحاربين في الوحدة السيبرانية الإسرائيلية 8200، إن الأمر استغرق ستة مهندسين ثلاثة أسابيع لبناء أداة القرصنة التي تعمل بالذكاء الاصطناعي. وقال إن آخرين، بما في ذلك جواسيس الإنترنت التابعين للدولة والمتسللين المجرمين، يمكنهم بالتأكيد أن يفعلوا الشيء نفسه.
تؤكد Anthropic أن Mythos Preview وأدوات الذكاء الاصطناعي الأخرى المشابهة لها ستفضل المدافعين في النهاية. وقال فريق Frontier Red التابع للشركة في مدونة بتاريخ 7 أبريل: “على المدى الطويل، نتوقع أن تهيمن القدرات الدفاعية: وأن العالم سيخرج أكثر أمانًا، مع برمجيات أكثر صلابة – إلى حد كبير من خلال التعليمات البرمجية المكتوبة بواسطة هذه النماذج”.
لكن الفترة الانتقالية ستكون محفوفة بالمخاطر”. بلومبرج
