كشفت شركة موزيلا (Mozilla) المطورة لمتصفح فايرفوكس (Firefox) أن نسخة مبكرة من نموذج الذكاء الاصطناعي كلود ميثوس (Claude Mythos) التابع لشركة أنثروبيك (Anthropic) حددت 271 نقطة ضعف في متصفح فايرفوكس أثناء الاختبارات الداخلية، وتم إصلاح جميعها هذا الأسبوع.
تشير هذه النتائج إلى كيف بدأت أنظمة الذكاء الاصطناعي المتقدمة في مسح قواعد بيانات برمجية ضخمة بمقياس كان يعتمد في السابق على ساعات طويلة من العمل اليدوي من قبل باحثي الأمن السيبراني. وقالت موزيلا إنه حتى الأهداف البرمجية المحصنة يمكن الآن فحصها بشكل أعمق في وقت أقصر.
كتبت موزيلا: "مع وصول هذه القدرات إلى أيدي المزيد من المدافعين، تشعر العديد من الفرق الأخرى الآن بنفس الدوار الذي شعرنا به عندما بدأت النتائج تتضح". "بالنسبة لهدف محصن، كانت مجرد نقطة ضعف واحدة من هذا القبيل ستكون بمثابة إنذار أحمر في عام 2025، ووجود العديد منها في وقت واحد يجعلك تتساءل عما إذا كان من الممكن مواكبة ذلك."
كانت الاختبارات السابقة باستخدام نموذج آخر من أنثروبيك قد كشفت عن 22 خطأ حساسًا أمنيًا في إصدار سابق من فايرفوكس. وعلى الرغم من هذا التقدم، أشارت موزيلا إلى أن القضاء على استغلال الثغرات البرمجية بالكامل لطالما اعتبر أمرًا غير واقعي.
كتبت الشركة: "حتى الآن، كانت الصناعة تكافح الأمن إلى حد التعادل". "يأخذ بائعو البرامج الحيوية المعرضة للإنترنت مثل فايرفوكس الأمن على محمل الجد ولديهم فرق من الأشخاص الذين يستيقظون كل صباح ويفكرون في كيفية الحفاظ على سلامة المستخدمين."
قالت موزيلا إن النظام الجديد يمكنه مراجعة الشيفرة المصدرية وتحديد نقاط الضعف بطرق كانت تتطلب سابقًا خبرة بشرية متخصصة للغاية. وأظهرت النتائج الداخلية أن النموذج لم يكشف عن أخطاء تتجاوز قدرة الباحثين رفيعي المستوى.
قالت الشركة: "يتنبأ بعض المعلقين بأن نماذج الذكاء الاصطناعي المستقبلية ستكشف عن أشكال جديدة تمامًا من نقاط الضعف التي تتحدى فهمنا الحالي، لكننا لا نعتقد ذلك". "تم تصميم برامج مثل فايرفوكس بطريقة معيارية ليتمكن البشر من فهم صحتها. إنها معقدة، ولكنها ليست معقدة بشكل تعسفي."
تم إطلاق كلود ميثوس في مارس، وتصفه أنثروبيك بأنه نموذجها الأكثر تقدمًا للمهام المتعلقة بالاستدلال والترميز والأمن السيبراني، ويأتي في مرتبة أعلى من سلسلتها السابقة أوبوس (Opus). أشارت الاختبارات ما قبل الإصدار إلى أنه يمكنه تحديد آلاف نقاط الضعف غير المعروفة عبر أنظمة التشغيل والمتصفحات.
لا يزال الوصول إلى النظام محدودًا من خلال مبادرة مقيدة تعرف باسم مشروع جلاسوينج (Project Glasswing)، والتي تسمح لشركات مختارة، بما في ذلك أمازون وآبل ومايكروسوفت، بمسح البرامج بحثًا عن الثغرات الأمنية.
يحذر باحثو الأمن من أن نفس القدرة يمكن استخدامها بشكل هجومي. قد تعمل أدوات الذكاء الاصطناعي التي يمكنها تحليل الشيفرة على نطاق واسع أيضًا على أتمتة اكتشاف الأخطاء القابلة للاستغلال عبر أنظمة البرامج واسعة الاستخدام.
أظهرت الاختبارات التي أجراها معهد الأمن السيبراني للذكاء الاصطناعي في المملكة المتحدة أن النموذج يمكنه تنفيذ عمليات إلكترونية معقدة بمفرده، بما في ذلك إكمال محاكاة هجوم شبكة مؤسسية متعدد المراحل دون تدخل بشري. وقد جذبت هذه النتائج انتباه الحكومات ووكالات الاستخبارات.
على الرغم من التوترات السابقة مع إدارة دونالد ترامب بشأن استخدام تقنية أنثروبيك، فقد نشرت وكالة الأمن القومي (NSA) نسخة معاينة من كلود ميثوس على الشبكات السرية، وفقًا لأشخاص مطلعين على الأمر. تشير هذه الخطوة إلى تزايد اهتمام الوكالات الأمريكية بأدوات الذكاء الاصطناعي التي يمكنها اكتشاف نقاط الضعف الحرجة في البرامج.
أقرت أنثروبيك أيضًا بأن معايير الأمن السيبراني الحالية تكافح لمواكبة أحدث نماذجها، مما يثير تساؤلات حول كيفية قياس أداء الذكاء الاصطناعي في هذا المجال.
قالت موزيلا إن النتائج تشير إلى نقطة تحول محتملة، حيث قد يبدأ المدافعون في تضييق الفجوة طويلة الأمد مع المهاجمين.
كتبت الشركة: "نحن فخورون للغاية بكيفية ارتقاء فريقنا لمواجهة هذا التحدي، وسيفعل الآخرون ذلك أيضًا".
لم ينتهِ عملنا بعد، لكننا تجاوزنا المنعطف ويمكننا أن نلمح مستقبلًا أفضل بكثير من مجرد المواكبة. للمدافعين أخيرًا فرصة للفوز، وبشكل حاسم."
