- "Project Glasswing" ir Anthropic vadīta alianse, kas izmanto Claude Mythos Preview, lai atrastu un novērstu ievainojamības kritiskā programmatūrā, pirms tās tiek izmantotas.
- Konsorcijs apvieno tādus gigantus kā AWS, Apple, Google, Microsoft, NVIDIA, Cisco vai Linux Foundation, kā arī vairāk nekā 40 organizācijas, kas ir atbildīgas par galveno digitālo infrastruktūru.
- Claude Mythos Preview ir atklājis tūkstošiem nulles dienu kļūdu, tostarp gadu desmitiem vecus OpenBSD, FFmpeg un Linux kodola trūkumus, liekot pārskatīt kiberdrošības procesus un ekonomiku.
- Anthropic ziedo līdz pat 100 miljoniem ASV dolāru modeļu lietošanas kredītos un 4 miljonus ASV dolāru ziedojumos atvērtā pirmkoda organizācijām, lai stiprinātu visas programmatūras ķēdes drošību.
Ja esat sācis saskatīt nosaukumu Antropic projekts Glasswing Tas ir visur, un jūs neesat īsti pārliecināts, kas tas ir; jūs neesat viens. Ļoti īsā laikā tas ir kļuvis par vienu no visvairāk apspriestajām tēmām kiberdrošībā un mākslīgajā intelektā, jo tas apvieno trīs spēcīgas sastāvdaļas: ārkārtīgi spējīgu mākslīgā intelekta modeli (Claude Mythos apskats), a tehnoloģiju gigantu koalīcija un solījumu pārskatīt planētas kritiski svarīgo programmatūru, meklējot trūkumus, kas bija slēpti gadu desmitiem.
Pati Anthropic atzīst, ka mēs tuvojamies posmam, kurā noteikti mākslīgā intelekta modeļi ir labāk nekā gandrīz jebkurš cilvēks Ievainojamību atklāšana un ekspluatāciju izveide paver delikātu scenāriju: ja šīs iespējas nonāk nepareizajās rokās, kiberuzbrukumu uzsākšanas izmaksas un sarežģītība strauji samazinās. Projekts “Glasswing” mēģina paredzēt šo nākotni un izmantot mākslīgo intelektu kā vairogu, pirms citi to izmanto kā ieroci.
Kas īsti ir Antroppiskais projekts Glasswing?

Antropoiskais definē projektu Glasswing kā sadarbības kiberdrošības iniciatīva Izstrādāts, lai mākslīgā intelekta laikmetā “aizsargātu pasaulē kritiskāko programmatūru”, tas nav tikai jauns produkts, bet gan ilgtermiņa programma, kurā iesaistīti daži no lielākajiem mākoņpakalpojumu sniedzējiem, drošības uzņēmumiem un galvenajiem dalībniekiem atvērtā pirmkoda un finanšu ekosistēmās.
Tehniskais kodols ir Kloda Mitosa priekšskatījums (saukts arī par Claude Mythos vai Mythos Preview), vispārējas nozīmes perifērijas modeli, ko Anthropic uzskata par tik spēcīgu kiberdrošības uzdevumu veikšanai, ka ir nolēmis to neizlaist plašai sabiedrībai. Tā vietā, lai to padarītu pieejamu kā vēl vienu plaši izmantotu modeli, tas to ieslēdz Glasswing un Viņš to nodod tikai uzticamām organizācijām. Aizsardzības nolūkos: ievainojamību noteikšanai, drošības auditiem, kontrolētai ielaušanās testēšanai utt.
Pamatdoma ir skaidra: vismodernākā mākslīgā intelekta tehnoloģija jau var atrast saglabājušos trūkumus. gadu desmitiem ilga cilvēku veikta pārskatīšana un automatizēti rīkiAnthropic vēlas, lai šī spēja vispirms spēlētu aizsargu pusē; lai Mythos atrastu caurumus, lai ielāpi tiktu saskaņoti ar uzturētājiem un tikai tad tiktu atklātas tehniskās detaļas.
Saskaņā ar uzņēmuma teikto, Project Glasswing būs ilgstošas pūles mēnešu (un, iespējams, gadu) garumāar periodiskām rezultātu publicēšanām, praktiskiem ieteikumiem un, galvenais, ievainojamību plūsmu, kas tiek labotas komponentos, kuri ir daļa no globālās digitālās infrastruktūras.
Kas ir iesaistīts projektā “Glasswing” un kāpēc tas ir tik svarīgs?

Antropic uzstāj, ka Neviena organizācija to nevar paveikt viena pati.Lai panāktu reālu ietekmi, bija nepieciešams pie viena galda apvienot tos, kas kontrolē lielu daļu interneta infrastruktūras un programmatūru, ko mēs ikdienā lietojam, gan patentētu, gan atvērtā pirmkoda programmatūru.
Starp Project Glasswing konglomerāta dibinātājiem ir tādi augsta līmeņa vārdi kā Amazon Web Services (AWS), Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA un Palo Alto NetworksTas ir, sākot no mākoņpakalpojumu sniedzējiem līdz vadošajām bankām, tostarp aparatūras ražotājiem, kiberdrošības uzņēmumiem un lielajai Linux ekosistēmas jumta organizācijai.
Papildus šai pamatgrupai Anthropic ir paplašinājis piekļuvi vairāk nekā 40 papildu organizācijas kas izstrādā vai uztur kritiskus programmatūras komponentus: operētājsistēmas, pārlūkprogrammas, multimediju bibliotēkas, tīkla infrastruktūru, atvērtā pirmkoda projektus ar miljoniem lietotāju utt. Visi no tiem var izmantot Mythos Preview, lai skenējiet savas atvērtā pirmkoda sistēmas un projektus, meklējot trūkumus, pirms kāds tos izmanto.
Dalība Linux fonds un Apache programmatūras fonds Tas ir īpaši svarīgi, jo liela daļa pasaules digitālās infrastruktūras balstās uz atvērtā pirmkoda programmatūru, ko uztur nelielas, bieži vien brīvprātīgo komandas. Līdz šim tikai lieli uzņēmumi ar ievērojamiem budžetiem varēja atļauties modernus rīkus un īpašas komandas; Glasswing mērķis ir pārvarēt šo plaisu, nodrošinot tām piekļuve augstākā līmeņa mākslīgajam intelektam un finansiālam atbalstam.
Šis plašais dalībnieku loks, kurā ietilpst pat tiešie konkurenti, padara Project Glasswing par vienu no labāk koordinēti kiberdrošības centieni no nozares pusesLoģika ir vienkārša: ja visi gūst labumu no drošākas bāzes programmatūras, ieguvēja ir visa ekosistēma.
Claude Mythos priekšskatījums: AI modelis, kas visu maina
Claude Mythos Preview ir Glasswing dzinējspēks un vienlaikus arī tā pastāvēšanas iemesls. Anthropic to raksturo kā vispārējas nozīmes robežu modelis ar tik attīstītām programmēšanas un spriešanas spējām, ka kā blakusefekts tas ir kļuvis par izcilu kiberdrošības uzdevumos.
Kā apgalvo pats uzņēmums, Mythos netika īpaši apmācīts drošības jomā, bet gan lai gūtu panākumus šajā jomā. koda analīze, sarežģītu problēmu risināšana un augsta līmeņa tehniski uzdevumiNo turienes būtu "parādījusies" viņu spēja atrast ievainojamības, veidot ekspluatācijas un apvienot trūkumus, līdz tiek panākta pilnīga sistēmas kompromitēšana.
Specializētajos rādītājos Anthropic salīdzina Mythos ar iepriekšējo etalona modeli Claude Opus 4.6. Iekšējā CyberGym etalonā, kas koncentrējas uz ievainojamību noteikšana un drošības analīzeClaude Opus 4.6 atveido 66,6% gadījumu, savukārt Mythos Preview sasniedz 83,1%, kas ir ļoti būtiska atšķirība šāda veida testam.
Uzņēmums ir arī publicējis Mythos priekšskatījuma sistēmas karte Šajā ziņojumā ir detalizēti aprakstīta ne tikai tās kodēšanas un spriešanas veiktspēja (tostarp sarežģīti etaloni, piemēram, USAMO padziļinātajā matemātikā), bet arī drošības funkcijas un ieviestie riska mazināšanas pasākumi. Vēstījums ir skaidrs: tas ir ievērojams spēju lēciens, un ar to jārīkojas ļoti uzmanīgi.
Visu šo iemeslu dēļ Antropic ir nolēmis, ka Claude Mythos priekšskatījums nebūs publiski pieejams. Saglabājot pašreizējās kiberdrošības spējas, uzņēmums vēlas izstrādāt papildu drošības pasākumus (iekļauti turpmākajos Opus modeļos), lai atklātu un bloķētu visbīstamākās izejas, īpaši tās, kas veicinātu sarežģītus vai liela mēroga kiberuzbrukumus.
Mythos atklātās ievainojamības: no OpenBSD līdz Linux kodolam
Nozarē trauksmes zvanus ir iedarbinājuši ne tikai solījumi, bet arī konkrēti rezultāti. Tikai dažu nedēļu darba laikā Claude Mythos Preview ir identificējis tūkstošiem nulles dienas ievainojamību (izstrādātājiem nezināmi trūkumi) praktiski visās galvenajās operētājsistēmās, tīmekļa pārlūkprogrammās un citās svarīgās programmatūras daļās.
Anthropic ir publiskojis dažus īpaši pārsteidzošus piemērus, vienmēr pēc tam, kad skartie uzturētāji ir izlabojuši kļūdas. Viens no visvairāk apspriestajiem ir 27 gadus ilga OpenBSD ievainojamībaMinētā operētājsistēma ir slavena tieši ar savu ārkārtīgo uzsvaru uz drošību un tiek izmantota ugunsmūros un citā kritiskā infrastruktūrā. Kļūda ļāva attālinātam uzbrucējam izraisīt datora avāriju, vienkārši izveidojot savienojumu ar to.
Vēl viens ievērojams gadījums ir 16 gadu ievainojamība FFmpeg, visuresoša video kodēšanas un dekodēšanas bibliotēka, ko izmanto neskaitāmas programmas. Saskaņā ar Anthropic datiem, problemātisko koda rindiņu aptuveni piecus miljonus reižu bija izpildījuši automatizēti testēšanas rīki, nevienam neatklājot trūkumu. Tomēr Mythos ne tikai to atrada, bet arī spēja atrast veidu, kā to izmantot.
Sarakstā ir iekļautas arī ievainojamības, kas atrastas un saistītas ar linux kodolsCentrālais komponents, kas pārvalda lielāko daļu pasaules serveru. Šajā gadījumā Mythos izdevās apvienot vairākas ievainojamības, lai panāktu privilēģiju eskalāciju no parasta lietotāja līdz pilnīgai datora kontrolei, kas ir ļoti nopietna situācija ražošanas vidē.
Papildus šiem piemēriem Anthropic apgalvo, ka Mythos ir atradis nopietnus trūkumus visās galvenajās operētājsistēmās un pārlūkprogrammās, kā arī hipervizoros un citos virtualizācijas komponentos, tīkla komplektos, kodekos un dažāda veida kritiskā programmatūrā. Uzņēmums ir publicējis informāciju par daudzām no šīm ievainojamībām. kriptogrāfiskie heši (piemēram, SHA-3) kas pierāda, ka tam ir tehniskās detaļas, taču tās netiek atklātas, kamēr nav pieejams ielāps.
Kā pārvaldīt tūkstošiem 0 dienu, nepārslogojot apkopes komandas
Tūkstošiem ievainojamību atrašana izklausās iespaidīgi, taču tas rada ļoti praktisku problēmu: ko darīt ar tādu neveiksmju lavīnu?Daudzus svarīgus atvērtā pirmkoda projektus uztur nelielas, bieži vien brīvprātīgo komandas, kas nevarētu vienlaikus apstrādāt simtiem kritisku ziņojumu, ko ģenerējis mākslīgais intelekts.
Apzinoties to, Anthropic ir izstrādājis cilvēka klasifikācijas un validācijas processModelis vispirms nosaka trūkumus pēc to nopietnības un potenciālās ietekmes; tikai tās ievainojamības, kas pārsniedz noteiktu slieksni, tiek nodotas profesionāliem cilvēku vērtētājiem, kurus nolīgst pati Anthropic, kuri manuāli pārskata katru ziņojumu, pirms sazinās ar tiem, kas ir atbildīgi par skarto projektu.
Kad uzņēmumam ir piekļuve pirmkodam, ideja ir katram ziņojumam pievienot kandidāta plāksteris Ģenerēts (un pārskatīts) ar modeli un skaidri marķēts, lai uzturētājs zinātu, ka tas nāk no automatizētas sistēmas. Pēc tam tiek piedāvāta sadarbība, lai precizētu labojumu, līdz tas sasniedz ražošanas kvalitāti, samazinot papildu darba slodzi izstrādes komandām.
Runājot par laika grafiku, antropoloģiskais stils ievēro šādu sistēmu: saskaņota izpaušanaPēc ievainojamības ziņošanas un sadarbības risinājuma izstrādē uzņēmums parasti nogaida aptuveni 45 dienas no ielāpa pieejamības brīža, pirms publicē pilnīgu tehnisko informāciju. Tas dod pārdevējiem un administratoriem laiku ieviest atjauninājumus, pirms detalizētā informācija var tikt izmantota ļaunprātīgiem mērķiem.
Attiecībā uz visu Project Glasswing projektu, Anthropic ir apņēmies to īstenot maksimālajā laika posmā, kas ir 90 dienas kopš sākuma Tā publicēs ziņojumu, kurā sīki aprakstīts gūtais, novērstās ievainojamības un sākotnējais praktisko ieteikumu kopums par to, kā drošības praksei vajadzētu attīstīties mākslīgā intelekta laikmetā.
Finansējums, lietošanas kredīti un atvērtā pirmkoda atbalsts
Lai nodrošinātu, ka tas nepaliek tikai teorija, Anthropic ir ieguldījis līdzekļus. No vienas puses, uzņēmums ir apņēmies sniegt ieguldījumu līdz pat 100 miljoniem ASV dolāru lietošanas kredītos Claude Mythos priekšskatījums Project Glasswing dalībniekiem un citām papildu organizācijām, kas pievienojas pētījuma priekšskatījuma laikā.
Šie kredīti segs ievērojamu modeļa izmantošanas apjomu, lai iesaistītie uzņēmumi un projekti varētu analizēt lielas koda bāzes un pilnīgas sistēmas bez tūlītēja šķēršļa. Kad šī fāze būs pabeigta, Mythos Preview būs pieejams dalībniekiem par maksu 25 ASV dolāru apmērā par miljonu ieejas žetonu un 125 ASV dolāru apmērā par miljonu izejas žetonu, un tas būs pieejams, izmantojot Claude API, Amazon Bedrock, Google Cloud Vertex AI un Microsoft Foundry.
Papildus aizdevumiem Anthropic ir veicis tiešus ziedojumus, kuru vērtība ir 4 miljoni ASV dolāru atvērtā pirmkoda drošības organizācijāmKonkrēti, tā ir novirzījusi 2,5 miljonus ASV dolāru Alpha-Omega un OpenSSF (izmantojot Linux Foundation) un 1,5 miljonus ASV dolāru Apache Software Foundation. Mērķis ir nodrošināt atvērtā pirmkoda programmatūras uzturētājiem resursus, lai reaģētu uz šo jauno scenāriju, kurā ievainojamības var parādīties viļņveidīgi.
Projektu vadītāji, kas ir ieinteresēti izmantot šīs iespējas, var pieteikties piekļuvei, izmantojot programmu. Klods atvērtā koda projektiemTas nodrošina atvērtai ekosistēmai īpašu kanālu, lai drošības uzdevumiem izmantotu Mythos un citus Claude modeļus. Tas ir mēģinājums labot gadu desmitiem ilgu nelīdzsvarotību, kur augstākajā līmenī varēja konkurēt tikai organizācijas ar lielām drošības komandām.
Paralēli, a Kiberpārbaudes programma Tas ir paredzēts likumīgiem drošības speciālistiem un pētniekiem, un tas ļaus pieprasīt kontrolētu piekļuvi modeļa uzlabotajām iespējām saskaņā ar stingrāku pārvaldības sistēmu, lai gan detaļas vēl nav pabeigtas.
Kiberdrošības ietekme uz ekonomiku un ekspertu darbu
Tādu modeļu kā Claude Mythos Preview parādīšanās draud mainīt ne tikai tehnoloģiju, bet arī ievainojamību atklāšanas ekonomikaDaži eksperti norāda, ka, tiklīdz šāds mākslīgais intelekts varēs meklēt kļūdas plašā mērogā, cilvēku maksāšanas loģika par ikdienas kļūdu atrašanu kļūs apšaubāma.
Džefs Viljamss, OWASP dibinātājs un Contrast Security tehniskais direktors, to rezumē tieši: kad mākslīgais intelekts var veikt kļūdu atklāšanas darbu plašā mērogā, Prioritāte vairs nav tā, kuras ievainojamības novērst vispirms. un tas nosaka, cik ilgi organizācija paliek pakļauta riskam. Tā nav tik daudz prioritāšu noteikšanas problēma, cik iedarbības periods.
Tas prasa pilnīgu procesu pārdomāšanu: nepārtrauktas skenēšanas, integrācijas un izvietošanas cauruļvadus, kas ietver gandrīz reāllaika ielāpus, automatizētu triāžu un masveida ielāpu pārvaldību, kā arī vīziju par uzņēmuma programmatūras drošība kā kaut kas integrēta jau no attīstības cikla sākumposma (drošs pēc izstrādes principa), nevis kā papildinājums beigās.
Uzņēmumu, piemēram, Cisco, Microsoft un AWS, vadītāji piekrīt, ka mēs ieejam mākslīgā intelekta darbinātas kiberaizsardzības laikmetsOrganizācijām, kas aizsargā internetu, būs jādarbojas “ar mašīnas ātrumu un tīkla mērogu”, izmantojot automatizētus rīkus gan perimetra aizsardzībai, gan dziļajam kodam un sistēmas analīzei.
Daudziem kiberdrošības speciālistiem Project Glasswing nozīmē gan iespēja un draudsNo vienas puses, tas daudzkārt palielina spēju atklāt problēmas un samazināt uzbrukuma virsmu; no otras puses, tas var apstrīdēt biznesa modeļus, kuru pamatā ir uzdevumi, kuru izmaksas mākslīgais intelekts var radikāli samazināt. Galvenais būs specializēties tajās procesa daļās, kurās cilvēka spriedums joprojām ir būtisks.
Attiecības ar valdībām un ģeopolitiskie riski
Ņemot vērā Claude Mythos Preview uzbrukuma un aizsardzības potenciālu, Anthropic uztur regulāras diskusijas ar Amerikas Savienoto Valstu iestādes un citām demokrātiskām valdībām. Uzņēmums apgalvo, ka kritiskās infrastruktūras aizsardzība pret šāda veida draudiem tagad ir jautājums Valsts drošībaun ka sabiedrotajām valstīm ir jāuztur skaidras priekšrocības mākslīgā intelekta tehnoloģiju jomā, lai tās nenonāktu neizdevīgā situācijā pret naidīgiem valstu dalībniekiem.
Uzņēmums brīdina, ka mākslīgais intelekts var padarīt visu veidu kiberuzbrukumus bīstamākus. biežāk, lētāk un postošākTas atvieglo noziedzīgu grupējumu un valsts iestāžu koordinētas kampaņas tādās valstīs kā Ķīna, Irāna, Ziemeļkoreja un Krievija. Ja uzbrucēji izmanto mākslīgā intelekta rīkus, lai uzlabotu savas metodes, šķiet neizbēgami, ka aizstāvji darīs to pašu, lai izvairītos no atpalikšanas.
Šajā kontekstā Project Glasswing tiek prezentēts kā Pirmais nopietnais mēģinājums koordinēt privāto sektoru un valdību attiecībā uz visspēcīgāko mākslīgā intelekta modeļu riskiem. Vidējā termiņā Anthropic pat ierosina, ka neatkarīga struktūra, kas spēj apvienot uzņēmumus un valsts iestādes, varētu būt īstā vieta, kur virzīties uz priekšu ar liela mēroga kiberdrošības projektiem.
Ka privāts uzņēmums atzīst, ka ir izveidojis modeli ar šādas bīstamas kiberspējas Tas, ka viņš neuzdrošinās to atklāti palaist, ir paradoksāli, it īpaši pēc tam, kad pats ir cietis no drošības incidentiem (piemēram, iekšējo dokumentu noplūdes (konfigurācijas kļūdu dēļ). Anthropic atbild, ka šīs kļūmes bija ierobežotas darbības problēmas, nevis strukturālas nepilnības, un apgalvo, ka pēc šiem incidentiem ir nostiprinājis savus procesus.
Jebkurā gadījumā debates par to, kam, ar kādiem nosacījumiem un ar kādu uzraudzību vajadzētu būt piekļuvei šāda kalibra modeļiem, nebūt nav beigušās. Projekts Glasswing darbojas arī kā politiskā un regulatīvā laboratorija lai izpētītu iespējamās atbildes.
Ko Project Glasswing nozīmē uzņēmumiem un izstrādātājiem?
Pat organizācijām, kas nav Glasswing daļa, Claude Mythos Preview un šīs alianses pastāvēšanai būs ļoti konkrētas sekas. Pirmkārt, daudzas no tām programmatūras atkarības ko izmanto ikviens (operētājsistēmas, bibliotēkas, tīmekļa serveri, ietvari), tiks pakļauti vēl nepieredzētai drošības pārbaudei.
Tas nozīmēs CVE un ielāpu vilnis Turpmākajos mēnešos un gados atkal parādīsies kļūdas, kas gadu desmitiem bija apraktas, un atjauninājumi kļūs vēl svarīgāki. Uzņēmumi, kas inerces vai slinkuma dēļ turpina izmantot vecākas versijas, redzēs, ka to ievainojamību virsma pieaugs eksponenciāli.
Jaunuzņēmumiem un produktu komandām Glasswing ir zīme, ka Drošība vairs nav izvēles greznība. Tas nav kaut kas, kas jāatstāj uz vēlāku laiku, bet gan pamatprasība jebkurai programmatūrai, kas vēlas integrēties ar lieliem klientiem, kritisko infrastruktūru vai regulētu vidi. Arvien biežāk tiek integrētas mākslīgā intelekta vadītas koda un tā piegādes ķēdes pārskatīšanas.
No atvērtā pirmkoda ekosistēmas viedokļa ziedojumi un tādas programmas kā Claude for Open Source ir vēsturiska iespēja: pirmo reizi projekti, ko uztur neliels skaits cilvēku, varēs saņemt atbalstu no augstākās klases mākslīgā intelekta modeļus, lai pārskatītu to koda bāzes, kas iepriekš bija paredzēts tikai milžiem ar īpašām drošības nodaļām.
Un plašākā līmenī Project Glasswing iezīmē pagrieziena punktu: Tas bija laikmets, kad, izmantojot mākslīgo intelektu, tika atklātas ievainojamības rūpnieciskā mērogā. Tas jau notiek. Tas, vai tas novedīs pie drošāka tīkla vai uzbrukumu eskalācijas, būs atkarīgs no tā, cik labi tādām iniciatīvām kā Glasswing izdosies nodrošināt, lai aizstāvji būtu soli priekšā.
Viss liecina, ka turpmāk programmatūras drošība vairs nebūs izkliedēts un manuāls darbs, bet gan nepārtraukts process, ko atbalstīs mākslīgais intelekts un koordinēs vairāki dalībnieki, kur tādi projekti kā Anthropic Project Glasswing kalpos par atsauci tam, kā atbildīgi pārvaldīt modeļus ar tik jaudīgām iespējām kā Claude Mythos Preview.
Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.
