El Proyecto Glasswing de Anthropic ha cambiado la matemática del descubrimiento de vulnerabilidades y los equipos de software tienen que aceptar sus implicaciones.
Project Glasswing es una alianza industrial, que incluye a Amazon, Apple, Google, Microsoft, Cisco y otros, construida alrededor del modelo de inteligencia artificial más capaz de Anthropic, Cloud Mythos Preview, con el objetivo expreso de encontrar y parchear vulnerabilidades críticas de software antes de que los atacantes puedan explotarlas.
Director de tecnología de RunSafe Security.
En las propias pruebas de Anthropic, Mythos escaneó los principales sistemas operativos y navegadores y encontró vulnerabilidades a una escala y profundidad que la auditoría manual y la fuzzing no detectaron.
Un error en OpenBSD ha estado en el código de producción durante 27 años. OpenBSD no es una base de código oscura y no probada. Ha sido monitoreado y desmitificado por investigadores de talla mundial durante más de dos décadas. De todos modos, Myths encontró un error explotable. Si es posible allí, es posible en cualquier lugar.
La cifra preocupante para los equipos de seguridad es que Anthropic dice que más del 99% de lo que Mithos ha encontrado aún no ha sido parcheado.
Eliminar la ventana del parche AI
El modelo de seguridad tradicional supone que los defensores tienen tiempo para encontrar una vulnerabilidad, crear un parche e implementarlo antes de que un atacante la explote. El descubrimiento de vulnerabilidades asistido por IA está rompiendo esa suposición, ya que la IA encuentra vulnerabilidades más rápido de lo que los defensores pueden parchearlas.
Un solo esfuerzo de investigación requeriría miles de años de trabajo para corregir y verificar en cada organización afectada lo que revelan los mitos.
Los defensores están bajo presión de ambos lados. Las mismas capacidades de IA que sacan a la luz las vulnerabilidades están creando exploits efectivos contra las mismas vulnerabilidades a escala.
Los atacantes que obtengan acceso a modelos comparables comprenderán dónde están los agujeros y tendrán las herramientas para desarrollar exploits rápidamente. Esto reduce aún más la ventana y aumenta la puntuación de cada vulnerabilidad que permanece sin cambios.
A medida que la IA acelera el descubrimiento de vulnerabilidades, los equipos dedicarán más tiempo a la remediación, lo que alterará las hojas de ruta de los productos y los cronogramas de entrega. Los equipos de seguridad que ya estaban al límite ahora enfrentan una disputa que no se resolverá en el corto plazo. Y Anthropic afirma claramente que esta capacidad sólo seguirá avanzando.
Por qué los errores de seguridad de la memoria son la punta de lanza de este problema
Las vulnerabilidades de seguridad de la memoria son una parte particularmente peligrosa de este panorama. Son frecuentes y explotables de forma fiable en bases de código heredadas, y la IA ha demostrado ahora la capacidad de encontrar estos errores y encadenarlos en un exploit eficaz.
Los desbordamientos de búfer, los errores de uso después de la liberación y las escrituras fuera de límites se encuentran en todo el código compilado en redes de energía, sistemas de defensa, transporte y más.
En particular, entre los errores citados en el anuncio de Mythos, muchos estaban relacionados con la seguridad de la memoria. Por ejemplo, la vista previa de Mythos identificó y luego aprovechó una vulnerabilidad de ejecución remota de código de 17 años en FreeBSD. Mythos también identificó fallas de protección de la memoria en el kernel de Linux y en aplicaciones web destacadas.
Los parches no se pueden dejar solos
Las herramientas de inteligencia artificial ahora pueden cambiar las matemáticas sobre cómo aplicar parches como defensa principal. Ningún equipo de seguridad puede superar el flujo continuo de día cero en el software crítico.
Las organizaciones mejor posicionadas para este clima ya han cambiado su forma de pensar de eliminar todos los errores a crear resiliencia en el software.
Al desarrollar software de una manera que minimice la explotabilidad, incluso cuando hay errores, las organizaciones pueden reducir la carga de parches. Un ejemplo es la protección en tiempo de ejecución, que impide la explotación de ciertos errores antes de que esté disponible un parche.
Una vulnerabilidad solo es importante para un atacante si puede alcanzarla y crear un exploit eficaz. El software de protección a nivel binario reduce esa posibilidad, no solucionando el error, sino eliminando los pasos necesarios para convertirlo en una infracción. El error persiste.
Reduce significativamente el camino de la absorción. Cuando los retrasos en la reparación se extienden a años, la brecha entre “los errores existen” y “los errores son explotables” es donde las organizaciones pueden ganar tiempo.
que hacer ahora
Las respuestas prácticas comienzan reconociendo que el retraso es real y que aplicar parches por sí solo no lo solucionará en ningún cronograma útil. Audite el código base heredado en busca de componentes que no sean seguros para la memoria y priorice aquellos que procesan datos expuestos en la red o que no son de confianza.
Establezca refuerzo binario y protección en tiempo de ejecución para el software que no se puede reescribir ni reemplazar rápidamente. Cree flujos de trabajo de remediación por absorción, no solo por puntuaciones de gravedad.
Cambios profundos en la forma en que las organizaciones piensan sobre el riesgo. Un sistema sin parches no necesariamente se ve afectado, siempre que esté reforzado a nivel binario y protegido contra lo que un atacante podría hacer con una vulnerabilidad. Esa postura se adapta al entorno actual.
La resiliencia y la remediación van de la mano, y las organizaciones que las traten de esa manera estarán mejor posicionadas a medida que el descubrimiento asistido por IA continúe escalando. El Proyecto Glasswing está dando a los defensores una ventaja. Las empresas que endurezcan ahora lo que aún no pueden parchear estarán en una posición más fuerte cuando se expanda el acceso.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
