هوش مصنوعی جدید آنتروپیک هزاران آسیب‌پذیری در معتبرترین سیستم‌ها پیدا کرد!

شرکت آنتروپیک، سازنده هوش مصنوعی Claude، به تازگی از مدل جدیدی به اسم «کلود میتوس» Claude Mythos رونمایی کرده که ظاهراً نابغه‌ای بی‌بدیل در کشف آسیب‌پذیری‌های امنیتی است! در واقع این هوش مصنوعی آنقدر پیشرفته و «خطرناک» است که فعلاً عرضه عمومی نمی‌شود و صرفاً در اختیار گروه کوچکی از شرکت‌های مطرح فناوری قرار می‌گیرد.

کلود میتوس: نابغه‌ی جدید آنتروپیک

ماجرا از این قرار است: آنتروپیک مدل هوش مصنوعی جدیدی به اسم میتوس می‌سازد که عملکردی حیرت‌انگیز در شناسایی نقص‌های امنیتی نرم‌افزارها دارد. اما از قضا به خاطر وجود مشکلات امنیتی در سیستم مدیریت محتوای خودِ شرکت، جزییات این مدل AI زودتر از موعد در اینترنت پخش می‌شود!

آنتروپیک هم با دیدن شرایط و پس از بررسی‌های فراوان تصمیم می‌گیرد که از انتشار عمومی میتوس خودداری کند؛ زیرا نگران بود هکرها از همین ابزار قدرتمند برای اهداف شوم استفاده کنند و اگر روراست باشیم، با توجه به تمام اطلاعاتی که راجع به میتوس منتشر شده، آنتروپیک احتمالاً بهترین تصمیم ممکن را گرفته!

نتیجه این شده که به جای عرضه عمومی میتوس، نسخه پیش‌نمایش این هوش مصنوعی در اختیار چند شرکت منتخب قرار گرفته؛ برای مثال می‌شود به آمازون، اپل، سیسکو، گوگل، جی‌پی مورگارن چیس، بنیاد لینوکس، مایکروسافت و انویدیا اشاره کرد.

آنتروپیک اسم این طرح را «پروژه گلس‌وینگ» (Project Glasswing) گذاشته و می‌گوید هدفش «تقویت زیرساخت‌های نرم‌افزاری حیاتی به کمک هوش مصنوعی» است. خوب است بدانید که حدود ۴۰ سازمان معتبر دیگر که «وظیفه‌ی ساخت یا نگهداری زیرساخت‌های حیاتی نرم‌افزاری را برعهده دارند» هم به نسخه پیش‌نمایش Claude Mythos دسترسی یافته‌اند. داریو آمودِی، مدیرعامل آنتروپیک در این‌باره می‌گوید:

ما به جای انتشار عمومی میتوس، در حال ارائه دسترسی اولیه و کنترل‌شده به مدافعان سایبری هستیم تا پیش از آنکه مدل‌هایی در ابعاد میتوس در سراسر اکوسیستم فناوری پخش شوند، آسیب‌پذیری‌ها شناسایی و وصله (پچ) شوند.

توانایی‌های حیرت‌انگیز کلود میتوس

طبق ادعای آنتروپیک، نسخه‌ی پیش‌نمایش میتوس (Mythos Preview) تاکنون هزاران آسیب‌پذیری روز صفر (Zero-day) در تمامی سیستم‌عامل‌ها و مرورگرهای وب معتبر کشف کرده است. از جمله این موارد می‌توان به یک باگ ۲۷ ساله (که اکنون برطرف شده) در OpenBSD، یک آسیب‌پذیری ۱۶ ساله در FFmpeg و یک آسیب‌پذیری مخرب حافظه در سیستم مانیتور ماشین مجازی اشاره کرد.

بسیاری از این آسیب‌پذیری‌ها برای سالیان سال از چشم هزاران متخصص و صدها تست امنیتی مختلف دور مانده بودند و حداقل یک مورد از آن‌ها در بیش از ۵ میلیون تست امنیتی شناسایی نشده بود!

گفته می‌شود در یک مثال حیر‌ت‌انگیز، نسخه‌ی پیش‌نمایش میتوس توانسته به صورت خودکار اکسپلویتی (Exploit) برای مرورگر طراحی کند که با پیوند زدن چهار آسیب‌پذیری مختلف به یکدیگر، امکان فرار از موتور رندر (Renderer) و محیط سندباکس سیستم عامل را مهیا کرده است!

در یک مثال دیگر، میتوس از داخلِ محیط سندباکس، اکسپلویتی چند مرحله‌ای طراحی می‌کند و بعد از دسترسی یافتن به اتصالِ اینترنتِ سیستم میزبان، ایمیلی برای محقق پروژه می‌فرستد که در پارک مشغول ساندویچ خوردن بوده است! اما ماجرا همین‌جا به پایان نمی‌رسد؛ هوش مصنوعی در مرحله بعدی یافته‌های خود راجع به این اکسپلویت را در چند وب‌سایت عمومی (که البته به سختی پیدا می‌شوند) منتشر کرده.

آنتروپیک توضیح می‌دهد که:

ما میتوس را برای ارائه چنین قابلیت‌هایی آموزش نداده‌ایم. این توانایی‌ها، پیامدِ [ناخواسته‌ی] بهبودهایی بوده‌اند که در کدنویسی، منطق و خودمختاری هوش مصنوعی به وجود آمده. همان بهبودهایی که باعث شده‌اند مدل میتوس در وصله کردن آسیب‌پذیری‌ها موثرتر باشد، مهارت‌های آن در سوءاستفاده را هم افزایش داده‌اند.

در آخر؛ مدلی که احتمالا به این زودی‌ها به دست عموم نمی‌رسد!

جالب است بدانید با اینکه کلود میتوس مهارت عجیبی در پیدا کردن نواقص امنیتی دارد، اما در اصل برای کاربرد عمومی ساخته شده. ولی آنتروپیک هنوز هیچ برنامه‌ای برای انتشار عمومی آن ندارد و ابتدا باید راهی امن برای انتشار مدل‌هایی پیدا کند که در «کلاس وزنی» میتوس قرار می‌گیرند! برای درک بهتر عظمت کار آنتروپیک، باید بدانید که گفته می‌شود این مدل هوش مصنوعی بیش از ۱۰ تریلیون پارامتر دارد و تخمین زده می‌شود که توسعه‌اش ۱۰ میلیارد دلار هزینه داشته است.