Kineska firma tvrdi da njen AI nalazi na stotine ranjivosti
SecurityWeek piše o tvrdnjama kineske kompanije 360 Digital Security Group da je njen interni multi-agent sistem za otkrivanje ranjivosti pomogao u pronalaženju skoro 1.000 propusta, uključujući više od 50 visoko rizičnih ranjivosti. Tvrdnje su privukle poređenja sa Anthropicovim Claude Mythos modelom i Project Glasswing pristupom, ali istraživač Eugenio Benincasa ocenjuje da mogućnosti 360 sistema verovatno još nisu na istom nivou autonomnog rezonovanja kao Mythos. Posebnu težinu temi daje kineski regulatorni okvir, po kome privatne firme i istraživači ranjivosti prvo prijavljuju državnim organima.
U ovoj priči tehnička trka oko AI pronalaženja ranjivosti ne može se odvojiti od geopolitike. Ako napredni modeli za otkrivanje propusta postanu dostupni velikim kompanijama, državnim strukturama i napadačima u približno isto vreme, pritisak se premešta sa pitanja ko može da pronađe ranjivost na pitanje ko prvi zna za nju i kako će je iskoristiti.
- Pratiti razvoj AI alata za otkrivanje ranjivosti, ali tvrdnje proizvođača tumačiti oprezno dok nema nezavisne potvrde
- U proceni rizika uzimati u obzir da ranjivosti mogu biti poznate državnim ili privatnim akterima pre javne objave
- Smanjiti oslanjanje samo na javne CVE liste i uvesti proaktivnu proveru izloženosti sopstvenih sistema
- Ubrzati proces procene, prioritizacije i zatvaranja ranjivosti koje pogađaju kritičnu infrastrukturu
- Posebno pratiti ranjivosti u Windowsu, Officeu, Androidu, IoT uređajima i drugim široko korišćenim platformama