Sztuczna inteligencja drastycznie obniża próg wejścia do świata hakerskiego, umożliwiając amatorom przeprowadzanie zaawansowanych cyberataków. Eksperci ostrzegają przed falą nowych zagrożeń po premierze modelu Claude Mythos od Anthropic, jak donosi The Verge.
W sierpniu ubiegłego roku najlepsze zespoły cyberbezpieczeństwa demonstrowały swoje systemy AI podczas DARPA Artificial Intelligence Cyber Challenge (AIxCC) w Las Vegas. Narzędzia przeskanowały 54 miliony linii kodu, w które DARPA celowo wstrzyknęła sztuczne błędy. Systemy nie tylko zidentyfikowały większość umyślnie wprowadzonych luk, ale odkryły także ponad tuzin prawdziwych błędów, których organizatorzy w ogóle nie dodali.
Kluczowe wnioski
- Model Claude Mythos od Anthropic potrafi znajdować luki w bezpieczeństwie niemal każdego oprogramowania, na które zostanie skierowany, wywołując trzęsienie ziemi w branży cyberbezpieczeństwa.
- AI drastycznie obniża próg wejścia dla "script kiddies" — amatorskich hakerów, którzy wcześniej kopiowali gotowe skrypty z internetu, a teraz mogą tworzyć zaawansowane exploity bez głębokiej wiedzy technicznej.
- W czerwcu 2025 roku autonomiczna platforma XBOW pokonała ludzkich hakerów na platformie HackerOne, sygnalizując przełom w możliwościach AI w znajdowaniu błędów.
- Eksperci przewidują, że złośliwi aktorzy będą wykorzystywać AI do atakowania niszowego oprogramowania, które wcześniej nie było warte wysiłku hakerów.
- Modele open-weight stanowią szczególne zagrożenie, gdyż zaawansowani przestępcy mogą uruchamiać własne wdrożenia, unikając monitorowania przez Anthropic czy OpenAI.
Nowa era cyberataków
"Nadchodzi fala tsunami. Można ją zobaczyć. Wszyscy możemy ją zobaczyć", ostrzega Dan Guido, CEO firmy cyberbezpieczeństwa Trail of Bits, która zajęła drugie miejsce w konkursie DARPA. Jego słowa odzwierciedlają rosnące obawy branży przed demokratyzacją narzędzi hakerskich.
Przez dekady "script kiddies" siiali spustoszenie, uruchamiając skrypty skopiowane z internetu lub zestawów narzędzi exploitów. Nie rozumieli w pełni ani nie potrafili samodzielnie napisać tych skryptów, ale wciąż byli w stanie zniekształcać strony internetowe i rozprzestrzeniać wirusy. Obecna sytuacja reprezentuje poważną eskalację — ludzie bez technicznego zaplecza mogą używać AI do wzmocnienia swoich możliwości w sposób niemożliwy przy prostych skryptach.
Tim Becker, starszy badacz bezpieczeństwa w firmie Theori, również finaliście konkursu, wyjaśnia: "Można używać narzędzi AI z bardzo minimalnym ludzkim kierunkiem, a w niektórych przypadkach bez żadnego ludzkiego kierunku, aby znaleźć zero-day w powszechnie używanym oprogramowaniu".
Odpowiedź branży na rosnące zagrożenie
Anthropic próbuje zapobiegać niewłaściwemu wykorzystaniu swojego oprogramowania przez przestępców. Tydzień po ogłoszeniu Mythos, firma wypuściła Claude Opus 4.7, który po raz pierwszy zawierał wbudowane zabezpieczenia mające blokować złośliwe żądania dotyczące cyberbezpieczeństwa. Profesjonaliści ds. bezpieczeństwa, którzy chcą używać modelu defensywnie, mogą aplikować do firmowego Cyber Verification Program.
Ogłoszenie Mythos wywołało wstrząsy w całej branży, ale wcześniej pojawiały się sygnały ostrzegawcze dotyczące możliwości AI w cyberbezpieczeństwie. Do czasu konkursu AIxCC "było już 10 do 20 różnych systemów znajdowania błędów, które mogły znaleźć o rzędy wielkości więcej błędów, niż mogliśmy załatać", mówi Guido.
Eksperci branży przewidują, że postęp w możliwościach bezpieczeństwa AI doprowadzi do znacznie większej liczby exploitów. Złośliwi aktorzy mogą skierować AI na znajdowanie błędów w niecodziennych fragmentach oprogramowania, które wcześniej nikt nie włożyłby wysiłku w eksploitowanie. "Próg zanurzenia się w nową milion-liniową bazę kodu i znalezienia błędu jest znacznie niższy niż kiedyś", podkreśla jeden z ekspertów.
Przemysł przygotowuje się na to, co może nadejść. Inni twórcy modeli mogą nie być tak ostrożni jak Anthropic, potencjalnie wypuszczając swoje potężne nowe narzędzia bezpośrednio do publicznej użytku. Jak podsumowuje Guido: "Mythos czy nie, to nadchodzi".
