وزیر خزانه‌داری آمریکا، اسکات بسنت [۱]، و رئیس فدرال رزرو، جروم پاول [۲]، در تاریخ ۷ آپریل رهبران وال‌استریت را فراخواندند تا یک هشدار فوری به آن‌ها بدهند: ابزار جدید هوش مصنوعی شرکت آنتروپیک آغازگر دوره‌ای تازه در امنیت سایبری خواهد بود.

این جلسه که در واشنگتن برگزار شد و روی هوش مصنوعی میتوس [۳]متمرکز بود؛ مدل جدید هوش مصنوعی آنتروپیک که به ادعای این شرکت آن‌قدر در پیدا کردن آسیب‌پذیری‌های نرم‌افزار و سیستم‌های کامپیوتری قوی است که فقط می‌تواند در اختیار تعداد محدودی از طرف‌های به‌دقت انتخاب‌شده قرار بگیرد. به گفته آنتروپیک، اگر ابزارهایی مثل میتوس به دست افراد نادرست بیفتد، می‌تواند سلاحی قدرتمند برای سرقت داده یا مختل کردن زیرساخت‌های حیاتی باشد.

شرکت‌های امنیت سایبری چند سالی هست وعده می‌دادند که هوش مصنوعی می‌تواند روند جلوگیری از نفوذهای دیجیتال را سریع‌تر و خودکارتر کند. اما روی دیگر سکه استفاده هکرها و جاسوسان سایبری از قابلیت‌های هوش مصنوعی است. ظهور میتوس و مدل‌های مشابهی که می‌توانند بدون نظارت انسانی نقص‌های پنهان در نرم‌افزارهای رایج را پیدا و از آن‌ها سوءاستفاده کنند، نشان‌دهنده مرحله‌ای تندرو و غیرقابل پیش‌بینی‌تر در رقابت تسلیحاتی سایبری است.

میتوس چیست؟

Claude Mythos Previewیک مدل هوش مصنوعی عمومی است که به ادعای آنتروپیک در مجموعه‌ای از معیارها، از جمله کدنویسی و استدلال، عملکردی بسیار بهتر از نسخه‌های قبلی دارد. این شرکت می‌گوید این مدل آن‌قدر قدرتمند است که تصمیم گرفته آن را به‌صورت عمومی منتشر نکند. به گفته آن‌ها، برخی مدل‌های هوش مصنوعی به سطحی از توانایی در کدنویسی رسیده‌اند که می‌توانند در پیدا کردن و سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری از تقریباً همه انسان‌ها، جز ماهرترین متخصصین، بهتر عمل کنند.

طبق اعلام آنتروپیک، نسخه پیشنمایش میتوس در طول آزمایش‌ها هزاران آسیب‌پذیری «روز-صفر [۴]» پیدا کرده، از جمله در تمام سیستم‌عامل‌های اصلی و مرورگرهای وب مهم. «روز-صفر» به نقص‌هایی گفته می‌شود که توسعه‌دهندگان از قبل از حضور آن‌ها مطلع نبوده‌اند، یعنی آن‌ها صفر روز فرصت دارند تا آن مشکل را اصلاح کنند. این نقص‌ها برای هکرها بسیار ارزشمندند، چون پنجره‌ای بدون محدودیت برای نفوذ به سیستم‌های آسیب‌پذیر فراهم می‌کنند.

آنتروپیک می‌گوید میتوس در مقایسه با مدل‌های قبلی این آسیب‌پذیری‌ها را با دخالت انسانی کمتری شناسایی کرده است. این شرکت اعلام کرده که: «نسخه پیش‌نمایش میتوس جهشی قابل توجه در مهارت‌های سایبری از خود نشان داده، برخی از آسیب‌پذیری‌هایی که پیدا کرده، دهه‌ها از بررسی انسانی و میلیون‌ها تست خودکار جان سالم به در برده بودند.». چنین ابزاری در دست گروه‌های باج‌افزاری یا دولت‌های متخاصم، می‌تواند به حملات سایبری مخرب‌تر و متوالی منجر شود.

پژوهشگران می‌گویند هنوز دسترسی لازم برای تأیید مستقلانة ادعاهای آنتروپیک درباره عملکرد میتوس را نداشته‌اند. گنگ وانگ [۵]، دانشیار علوم کامپیوتر در دانشگاه ایلینوی، گفته بدون آزمایش‌های عملی بیشتر، ارزیابی کارایی واقعی نسخه پیش‌نمایش میتوس دشوار است.

چه کسانی به نسخه پیش‌نمایش میتوس دسترسی خواهند داشت؟

آنتروپیک برنامة خود برای ارائه دسترسی محدود به گروهی از شرکای تأییدشده را پروژه گلس‌وینگ[۶] نامیده، الهام‌گرفته از نوعی پروانه با بال‌های شفاف که می‌تواند از دید بقیه پنهان شود. آنتروپیک در این پروژه با شرکت‌هایی مانند آمازون، اپل، مایکروسافت، پالو آلتو نتورکز[۷]، کروداسترایکز [۸]، برودکام[۹]، سیسکو [۱۰]، جی‌پی‌مورگان-چیس [۱۱]و بنیاد لینوکس همکاری دارد. آنتروپیک این پروژه را «تلاشی فوری برای به‌کارگیری این قابلیت‌ها در جهت اهداف دفاعی» توصیف کرده است.

این شرکت‌ها از میتوس برای تقویت دفاع سایبری خود استفاده خواهند کرد و آنتروپیک قصد دارد یافته‌های این پروژه را به اشتراک بگذارد تا دیگران هم بهره‌مند شوند. بسیاری از شرکت‌ها از قبل از تست‌های نفوذ استفاده می‌کنند؛ یعنی متخصصانی را استخدام می‌کنند تا سیستم‌هایشان را بررسی کنند و قبل از هکرها نقص‌ها را پیدا کنند. میتوس می‌تواند این فرآیند را چندین برابر سریع‌تر و کارآمدتر کند و فرصت هکرها برای پیش‌بردن حملات را کاهش دهد.

چرا آنتروپیک انتشار میتوس را یک «نقطه عطف» می‌داند؟

آنتروپیک از پیش‌نمایش میتوس به‌عنوان «نقطه عطفی در امنیت» یاد کرده است. پیدا کردن آسیب‌پذیری‌های روز صفر بسیار دشوار است و امروزه صنعتی کوچک و تاریکی حول کشف و فروش این آسیب‌پذیری‌ها به سازمان‌های اطلاعاتی دولتی شکل گرفته است، گاهی با هزینه‌های چند میلیون دلاری. به گفته آنتروپیک، آسیب‌پذیری‌هایی که میتوس پیدا کرده اغلب شناسایی‌شان سخت بوده است و حتی شامل نقصی ۲۷ ساله در سیستم‌عامل OpenBSD می‌شود؛ سیستمی که به داشتن امنیت بسیار بالا مشهور است.

همچنین گفته می‌شود میتوس توانسته آسیب‌پذیری‌های شناخته‌شده اما اصلاح‌نشده را به «اکسپلویت»‌های قابل استفاده برای هکرها تبدیل کند. مثلاً چند نقص در هستة لینوکس، بخش اصلی سیستم‌عاملی که بیشتر سرورهای اینترنت جهان روی آن اجرا می‌شوند، را به هم زنجیر کرده تا امکان کنترل کامل سیستم را برای مهاجم فراهم کند. حتی کاربران غیرمتخصص از میتوس خواسته‌اند راهی برای کنترل از راه دور یک کامپیوتر پیدا کند و صبح روز بعد با یک اکسپلویت کامل و آماده مواجه شده‌اند.

میتوس فقط یکی از چند ابزار جدید هوش مصنوعی است که قادر به پیدا کردن آسیب‌پذیری‌های روز-صفر یا ساخت اکسپلویت هستند. ابزارهایی مثل «Codex Security» از OpenAI و «Big Sleep agent» از Google هم برای کشف نقص‌های امنیتی توسعه داده شده‌اند. همچنین گزارش شده OpenAI در حال نهایی کردن محصولی با قابلیت‌های پیشرفته امنیت سایبری برای ارائه به شرکای منتخب است. در همین حال، پژوهشگران یک استارتاپ اسرائیلی به نام Buzz می‌گویند ابزاری خودکار ساخته‌اند که با ترکیب پنج عامل هوش مصنوعی، در ۹۸ درصد موارد در سوءاستفاده از نقص‌های شناخته‌شده موفق عمل می‌کند.

چه تدابیر امنیتی در نظر گرفته شده است؟

به گفته آنتروپیک، این تدابیر هنوز در حال تکامل هستند. این شرکت نوشته: «ما شاهد آن هستیم که این مدل به سطح بی‌سابقه‌ای از اعتبار و هماهنگی رسیده است»، یعنی دقیقا خواستة انسان‌ها را اعمال می‌کند. «با این حال، در موارد نادری که دچار خطا می‌شود یا رفتار عجیبی نشان می‌دهد، اقداماتی انجام داده که برای ما نگران‌کننده بوده است».

در یک مورد، یک پژوهشگر از نسخه اولیه میتوس خواست تلاش کند از یک محیط ایزوله و امن (sandbox) فرار کند و سپس راهی برای ارسال پیام به او پیدا کند. این ابزار موفق شد، اما بعد از آن به انجام «اقدامات اضافی و نگران‌کننده‌تر» ادامه داد و یک اکسپلویت چندمرحله‌ای برای دسترسی به اینترنت توسعه داد.

آنتروپیک گفته با توجه به احتمال سوءاستفاده، برنامه‌ای برای انتشار عمومی میتوس پریویو ندارد. با این حال، این شرکت در نهایت امیدوار است امکان استفاده گسترده از مدل‌هایی در سطح میتوس را برای اهداف امنیت سایبری و کاربردهای دیگر فراهم کند. این شرکت گفته: «برای رسیدن به این هدف، باید در توسعه تدابیر امنیتی (و سایر محافظت‌ها) پیشرفت کنیم تا بتوانیم خطرناک‌ترین خروجی‌های مدل را شناسایی و مسدود کنیم».

برای آسیب‌پذیری‌های بسیار حساس که توسط میتوس شناسایی می‌شوند، همچنان انسان‌ها مسئول خواهند بود: متخصصان این کشفیات را تأیید می‌کنند و سپس اطلاعات را به مسئولان نگهداری کد منتقل می‌کنند. به گفته آنتروپیک، این فرآیند ضروری اما زمان‌بر است، هرچند ممکن است با پیشرفت مدل در آینده حذف شود، موضوعی که گنگ وانگ از دانشگاه ایلینوی هم به آن اشاره کرده است.

آیا میتوس باعث برتری مدافعان امنیت سایبری می‌شود؟

شاید، اما احتمالاً این کار زمان می‌برد. فرآیند آنتروپیک برای اطلاع‌رسانی نقص‌ها به توسعه‌دهندگان نرم‌افزار یا مدیران سیستم‌ها می‌تواند طولانی باشد. تا حالا، کمتر از یک درصد از آسیب‌پذیری‌های بالقوه‌ای که میتوس پریویو پیدا کرده، به‌طور کامل برطرف شده‌اند.

در همین حال، هکرها هم از هوش مصنوعی برای افزایش چشمگیر سرعت کشف و سوءاستفاده از آسیب‌پذیری‌ها استفاده می‌کنند، به‌خصوص بعد از اینکه این نقص‌ها به‌صورت عمومی افشا می‌شوند (شرکت‌ها معمولاً ترغیب می‌شوند و در برخی موارد ملزم هستند، که پس از کشف آسیب‌پذیری‌ها آن‌ها را به صورت عمومی اعلام کنند و در حالت ایده‌آل آن را اصلاح کنند). این موضوع زمان مورد نیار متخصصان امنیتی برای ایمن‌سازی شبکه‌ها را کمتر و کمتر می‌کند. نیکش آرورا [۱۲]، مدیرعامل پالو آلتو نتورکز، در یک پست وبلاگی در ۳۰ مارس هشدار داد که طی شش ماه آینده، موانع اجرای حملات پیشرفته به‌طور مداوم کاهش خواهند یافت. او می‌نویسد: «حالا یک عامل مخرب می‌تواند به تنهایی کمپین‌هایی را اجرا کند که قبلاً به تیم‌هایی کامل نیاز داشت».

یایر سابان [۱۳]، مدیرعامل شرکت Buzz و از اعضای سابق یگان سایبری ۸۲۰۰ اسرائیل، گفته که ساخت ابزار هک مبتنی بر هوش مصنوعی آن‌ها تنها سه هفته برای شش مهندس آن‌ها زمان برده است. به گفته او، دیگران از جمله جاسوسان سایبری دولتی و هکرهای مجرم هم قطعاً می‌توانند همین کار را انجام دهند.

با این حال، آنتروپیک تأکید دارد که در نهایت ابزارهایی مثل میتوس بیشتر به نفع مدافعان خواهند بود. تیم Frontier Red این شرکت در یک پست وبلاگی در ۷ آوریل نوشت: «ما انتظار داریم در بلندمدت، توان دفاعی قوی‌تر از حملات هکرها شود: جهان امن‌تر خواهد شد و نرم‌افزارها مقاوم‌تر، تا حد زیادی به‌واسطه کدی که همین مدل‌ها می‌نویسند.» اما آن‌ها هشدار داده‌اند که: «دوره گذار پرتنش خواهد بود».