La scoperta automatizzata delle vulnerabilità tramite intelligenza artificiale sta ribaltando i costi della sicurezza aziendale, invertendo il vantaggio tradizionalmente a favore degli attaccanti. Secondo una valutazione recente del team di ingegneri di Mozilla Firefox, condotta utilizzando il modello Claude Mythos Preview di Anthropic e riportata da AI News, questa tecnologia sta rendendo economicamente sostenibile la correzione di centinaia di falle di sicurezza, riducendo drasticamente i costi per le imprese e cambiando il paradigma della difesa informatica.
Rendere gli exploit a costo zero è stato a lungo considerato un obiettivo irrealistico. La dottrina operativa prevalente mirava a rendere gli attacchi così costosi che solo gli avversari con budget funzionalmente illimitati potessero permetterseli, disincentivando così l’uso casuale. Tuttavia, la recente valutazione del team di ingegneri di Mozilla Firefox – utilizzando Claude Mythos Preview di Anthropic – sfida questo status quo consolidato.
Durante la valutazione iniziale con Claude Mythos Preview, il team di Firefox ha identificato e corretto 271 vulnerabilità per la versione 150 del browser. Questo ha fatto seguito a una precedente collaborazione con Anthropic utilizzando Opus 4.6, che aveva prodotto 22 correzioni sensibili alla sicurezza nella versione 148. Scoprire centinaia di vulnerabilità contemporaneamente mette a dura prova le risorse di un team, ma nell’odierno clima normativo rigoroso, fare il lavoro pesante per prevenire una violazione dei dati o un attacco ransomware si ripaga ampiamente da solo. La scansione automatizzata riduce anche i costi; poiché il sistema controlla continuamente il codice rispetto a database di minacce noti, le aziende possono ridurre l’assunzione di costosi consulenti esterni.
Superare i costi di calcolo e l’attrito dell’integrazione
L’integrazione di modelli di IA all’avanguardia nelle pipeline di integrazione continua esistenti introduce notevoli considerazioni sui costi di calcolo. Eseguire milioni di token di codice proprietario attraverso un modello come Claude Mythos Preview richiede una spesa in conto capitale dedicata. Le imprese devono stabilire ambienti di database vettoriali sicuri per gestire le finestre di contesto necessarie per vasti codebase, assicurando che la logica aziendale proprietaria rimanga rigorosamente partizionata e protetta.
Valutare l’output richiede anche una rigorosa mitigazione delle allucinazioni. Un modello che genera vulnerabilità di sicurezza falsi positivi spreca costose ore di ingegneria umana. Pertanto, la pipeline di distribuzione deve incrociare gli output del modello con gli strumenti di analisi statica esistenti e i risultati di fuzzing per convalidare i risultati. I test di sicurezza automatizzati si basano fortemente su tecniche di analisi dinamica, in particolare il fuzzing, eseguito dai red team interni. Sebbene il fuzzing sia molto efficace, ha difficoltà con alcune parti del codebase. I ricercatori di sicurezza d’élite superano queste limitazioni ragionando manualmente sul codice sorgente per identificare errori logici. Questo processo manuale richiede tempo ed è limitato dalla scarsità di competenze umane d’élite.
L’integrazione di modelli avanzati elimina questo vincolo umano. Computer, completamente incapaci di questo compito solo pochi mesi fa, ora eccellono nel ragionare sul codice. Mythos Preview dimostra parità con i migliori ricercatori di sicurezza al mondo. Il team di ingegneri ha notato di non aver trovato alcuna categoria o complessità di difetto che gli umani possano identificare e che il modello non possa. Incoraggiante, non hanno visto alcun bug che non avrebbe potuto essere scoperto da un ricercatore umano d’élite.
Mentre la migrazione verso linguaggi memory-safe come Rust fornisce mitigazione per alcune classi comuni di vulnerabilità, fermare lo sviluppo per sostituire decenni di codice C++ legacy non è finanziariamente sostenibile per la maggior parte delle aziende. Gli strumenti di ragionamento automatizzato offrono un metodo altamente conveniente per mettere in sicurezza i codebase legacy senza incorrere nella sbalorditiva spesa di una revisione completa del sistema.
Eliminare il vincolo della scoperta umana
Un grande divario tra ciò che le macchine possono scoprire e ciò che gli umani possono scoprire favorisce pesantemente l’attaccante. Gli attori ostili possono concentrare mesi di costoso sforzo umano per scoprire un singolo exploit. Chiudere il divario di scoperta rende economica l’identificazione delle vulnerabilità, erodendo il vantaggio a lungo termine dell’attaccante. Mentre la prima ondata di difetti identificati sembra terrificante a breve termine, offre un’eccellente notizia per la difesa aziendale.
I fornitori di software vitale esposto a Internet hanno team dedicati che mirano a proteggere gli utenti. Man mano che altre aziende tecnologiche adottano metodi di valutazione simili, il livello di riferimento per la responsabilità del software cambierà. Se i modelli possono trovare in modo affidabile errori logici in un codebase, omettere di utilizzare tali strumenti potrebbe presto essere considerato negligenza aziendale.
È importante notare che non vi è alcuna indicazione che questi sistemi stiano inventando categorie di attacchi completamente nuove che sfidano la comprensione corrente. Applicazioni software come Firefox sono progettate in modo modulare per consentire il ragionamento umano sulla correttezza. Il software è complesso, ma non arbitrariamente complesso. I difetti del software sono finiti. Abbracciando audit automatizzati avanzati, i leader tecnologici possono sconfiggere attivamente le minacce persistenti. L’iniziale afflusso di dati richiede un’intensa attenzione ingegneristica e una riprioritizzazione. Tuttavia, i team che si impegnano nel lavoro di remediation richiesto troveranno una conclusione positiva al processo. L’industria sta guardando a un futuro prossimo in cui i team di difesa possiedono un vantaggio decisivo.
