זיהוי פרצות אבטחה הוא אתגר מתמשך שמעסיק מפתחים וחברות אבטחה כבר שנים. פרצות קטנות ונדירות עלולות להישאר בלתי מזוהות במשך שנים, עם השלכות חמורות. כאן נכנס לתמונה Project Glasswing של Anthropic, שמציע מודל AI חדש בשם Claude Mythos Preview, שמטרתו לגלות חולשות שקשה מאוד לאתר באמצעים רגילים.
המודל, שפותח על ידי צוות שהפרש מ-OpenAI מתוך דאגה לבטיחות, מבוסס על גישה שמנסה להפוך את "הפרצות השקופות" לגלויות. לדוגמה, הוא הצליח לזהות באגים קריטיים במערכות כמו OpenBSD, מערכת הפעלה שמוכרת כברירת מחדל כבעלת רמת אבטחה גבוהה מאוד.
מה המשמעות למפתחים ולחברות אבטחה? ראשית, הכלי מאפשר לאתר נקודות תורפה שלא נחשפו עד כה, מה שיכול לחסוך זמן ומשאבים בבדיקות ידניות. שנית, הוא מדגים את הפוטנציאל של AI ככלי עזר משמעותי בשיפור אבטחת התוכנה, אך גם מדגיש את הצורך בזהירות בשימוש בו – שכן חשיפת המודל לציבור הרחב עלולה להוביל לניצול לרעה על ידי תוקפים.
לכן, Anthropic בחרה לשתף פעולה עם חברות מובילות בלבד, כמו Microsoft ו-Palo Alto Networks, במסגרת שיתוף פעולה מבוקר. זה מראה שהבעיה אינה רק טכנולוגית, אלא גם סביבתית: המערכת האקולוגית של אבטחת מידע עדיין לא מוכנה לפתוח את הכלים האלה לכלל הציבור מבלי לסכן את הביטחון.
מתי כדאי להשתמש ב-Claude Mythos Preview? כאשר יש צורך בבדיקות אבטחה מעמיקות במיוחד, בפרויקטים קריטיים או במערכות עם דרישות בטיחות גבוהות. מתי לא? במקרים בהם אין שליטה על מי שיכול לגשת למודל, או כאשר החשש מניצול לרעה גבוה מדי.
הלקח המרכזי הוא שהשימוש ב-AI לזיהוי פרצות הוא כלי עזר מתקדם, אך לא תחליף לבדיקות אבטחה קפדניות ולמדיניות אחראית. הפיתוח של Project Glasswing מדגים את האיזון הדרוש בין חדשנות טכנולוגית לבין אחריות אתית וסביבתית, ומדגיש שהדרך לשיפור אבטחת המידע עוברת גם דרך בקרה ושיתוף פעולה מבוקר.