Home أخبار مشروع Glasswing: تأمين البرامج الهامة لعصر الذكاء الاصطناعي

مشروع Glasswing: تأمين البرامج الهامة لعصر الذكاء الاصطناعي

By
محمد عبد الرحمن
-
8
0

تحديد نقاط الضعف والثغرات باستخدام Claude Mythos Preview

على مدى الأسابيع القليلة الماضية، استخدمنا Claude Mythos Preview لتحديد الآلاف من نقاط الضعف في يوم الصفر (أي العيوب التي لم تكن معروفة سابقًا لمطوري البرنامج)، والعديد منها بالغ الأهمية، في كل نظام تشغيل رئيسي وكل متصفح ويب رئيسي، إلى جانب مجموعة من البرامج المهمة الأخرى.

في منشور على مدونة Frontier Red Team الخاصة بنا، نقدم تفاصيل فنية لمجموعة فرعية من هذه الثغرات الأمنية التي تم تصحيحها بالفعل، وفي بعض الحالات، الطرق التي وجدتها Mythos Preview لاستغلالها. لقد كان قادرًا على تحديد جميع نقاط الضعف هذه تقريبًا – وتطوير العديد من برمجيات إكسبلويت ذات الصلة – بشكل مستقل تمامًا، دون أي توجيه بشري. وفيما يلي ثلاثة أمثلة:

  • عثرت Mythos Preview على ثغرة أمنية عمرها 27 عامًا في OpenBSD، والذي يتمتع بسمعة طيبة كواحد من أكثر أنظمة التشغيل تشددًا من الناحية الأمنية في العالم، ويستخدم لتشغيل جدران الحماية وغيرها من البنية التحتية الحيوية، وسمحت الثغرة الأمنية للمهاجم بتعطل أي جهاز يعمل بنظام التشغيل عن بعد بمجرد الاتصال به؛
  • واكتشفت أيضًا ثغرة عمرها 16 عامًا في FFmpeg – والتي تستخدمها أجزاء لا حصر لها من البرامج لتشفير الفيديو وفك تشفيره – في سطر من التعليمات البرمجية التي وصلت أدوات الاختبار الآلية إلى خمسة ملايين مرة دون اكتشاف المشكلة على الإطلاق؛
  • عثر النموذج بشكل مستقل على العديد من نقاط الضعف في نواة Linux – البرنامج الذي يدير معظم خوادم العالم – وربطها معًا للسماح للمهاجم بالتصعيد من وصول المستخدم العادي إلى التحكم الكامل في الجهاز.

لقد أبلغنا مشرفي البرامج ذات الصلة بالثغرات المذكورة أعلاه، وقد تم الآن تصحيحها جميعًا. بالنسبة للعديد من الثغرات الأمنية الأخرى، فإننا نقدم اليوم تجزئة مشفرة للتفاصيل (راجع مدونة الفريق الأحمر)، وسنكشف عن التفاصيل بعد إجراء الإصلاح.

تعزز معايير التقييم مثل CyberGym الفرق الجوهري بين Mythos Preview ونموذجنا الأفضل التالي، Claude Opus 4.6:

استنساخ ثغرات الأمن السيبراني

بالإضافة إلى عملنا، يستخدم العديد من شركائنا بالفعل Claude Mythos Preview لعدة أسابيع. وهذا ما وجدوه:

“لقد تجاوزت قدرات الذكاء الاصطناعي العتبة التي تغير بشكل جذري الحاجة الملحة لحماية البنية التحتية الحيوية من التهديدات السيبرانية، ولا مجال للتراجع. لقد أظهر عملنا التأسيسي مع هذه النماذج أنه بإمكاننا تحديد الثغرات الأمنية وإصلاحها عبر الأجهزة والبرامج بوتيرة وعلى نطاق كان مستحيلًا في السابق. وهذا تحول عميق، وإشارة واضحة إلى أن الطرق القديمة لتشديد الأنظمة لم تعد كافية. يجب على مقدمي التكنولوجيا أن يعتمدوا بقوة أساليب جديدة الآن، ويجب أن يكون العملاء على استعداد للنشر. ولهذا السبب انضمت شركة Cisco إلى مشروع Glasswing – فهذا العمل مهم جدًا وعاجل جدًا بحيث لا يمكن القيام به بمفردها

“في AWS، نقوم ببناء الدفاعات قبل ظهور التهديدات، بدءًا من السيليكون المخصص لدينا وحتى مجموعة التكنولوجيا. الأمن ليس مرحلة بالنسبة لنا؛ إنه مستمر ومضمن في كل ما نقوم به. تقوم فرقنا بتحليل أكثر من 400 تريليون تدفق شبكي يوميًا بحثًا عن التهديدات، ويعد الذكاء الاصطناعي عنصرًا أساسيًا في قدرتنا على الدفاع على نطاق واسع. لقد قمنا باختبار Claude Mythos Preview في عملياتنا الأمنية الخاصة، وتطبيقه على قواعد التعليمات البرمجية الهامة، حيث يساعدنا بالفعل في تعزيز التعليمات البرمجية لدينا. نحن نجلب خبرة أمنية عميقة إلى شراكتنا مع Anthropic ونساعد في تعزيز Claude Mythos Preview حتى تتمكن المزيد من المؤسسات من تطوير أعمالها الأكثر طموحًا مع الأمان الذي يحدد المعايير.

“بينما ندخل مرحلة لم يعد فيها الأمن السيبراني مقيدا بالقدرة البشرية البحتة، فإن فرصة استخدام الذكاء الاصطناعي بشكل مسؤول لتحسين الأمن والحد من المخاطر على نطاق واسع لم يسبق لها مثيل. يتيح لنا الانضمام إلى Project Glasswing، مع إمكانية الوصول إلى Claude Mythos Preview، تحديد المخاطر وتخفيفها مبكرًا وتعزيز حلول الأمان والتطوير لدينا حتى نتمكن من حماية العملاء وMicrosoft بشكل أفضل. عند اختباره مقابل CTI-REALM، وهو معيار الأمان مفتوح المصدر الخاص بنا، أظهر Claude Mythos Preview تحسينات كبيرة مقارنة بالنماذج السابقة. نحن نتطلع إلى الشراكة مع Anthropic والصناعة الأوسع لتحسين النتائج الأمنية للجميع

ايجور تسيجانسكي

نائب الرئيس التنفيذي للأمن السيبراني وأبحاث مايكروسوفت، مايكروسوفت

قراءة الإعلان

“لقد انهارت النافذة الفاصلة بين اكتشاف الثغرة الأمنية واستغلالها من قبل الخصم – ما كان يستغرق أشهرًا يحدث الآن في دقائق معدودة باستخدام الذكاء الاصطناعي. توضح معاينة كلود ميثوس ما هو ممكن الآن للمدافعين على نطاق واسع، وسيتطلع الخصوم حتمًا إلى استغلال نفس القدرات. هذا ليس سببًا للتباطؤ، إنه سبب للتحرك معًا بشكل أسرع. إذا كنت ترغب في نشر الذكاء الاصطناعي، فأنت بحاجة إلى الأمن. ولهذا السبب تعد CrowdStrike جزءًا من هذا الجهد من اليوم الأول

“في الماضي، كانت الخبرة الأمنية بمثابة رفاهية مخصصة للمؤسسات التي لديها فرق أمنية كبيرة. تاريخياً، تُرك القائمون على صيانة المصادر المفتوحة – الذين تدعم برمجياتهم الكثير من البنية التحتية الحيوية في العالم – ليكتشفوا الأمن بأنفسهم. تشكل البرمجيات مفتوحة المصدر الغالبية العظمى من التعليمات البرمجية في الأنظمة الحديثة، بما في ذلك الأنظمة نفسها التي يستخدمها وكلاء الذكاء الاصطناعي لكتابة برامج جديدة. من خلال منح القائمين على قواعد التعليمات البرمجية مفتوحة المصدر المهمة إمكانية الوصول إلى جيل جديد من نماذج الذكاء الاصطناعي التي يمكنها تحديد نقاط الضعف وإصلاحها بشكل استباقي على نطاق واسع، يقدم Project Glasswing مسارًا موثوقًا لتغيير تلك المعادلة. هذه هي الطريقة التي يمكن بها للأمن المعزز بالذكاء الاصطناعي أن يصبح صديقًا موثوقًا به لكل مشرف، وليس فقط أولئك الذين يستطيعون تحمل تكاليف فرق أمنية باهظة الثمن.

يعد تعزيز الأمن السيبراني ومرونة النظام المالي أمرًا أساسيًا لمهمة جي بي مورجان تشيس، ونعتقد أن الصناعة تكون أقوى عندما تعمل المؤسسات الرائدة معًا لمواجهة التحديات المشتركة. يوفر مشروع Glasswing فرصة فريدة في مرحلة مبكرة لتقييم أدوات الذكاء الاصطناعي من الجيل التالي للأمن السيبراني الدفاعي عبر البنية التحتية الحيوية وفقًا لشروطنا الخاصة جنبًا إلى جنب مع قادة التكنولوجيا المحترمين. سوف نتبع نهجًا صارمًا ومستقلًا لتحديد كيفية المضي قدمًا وأين يمكننا المساعدة. تعكس مبادرة الأنثروبيك نوع النهج التعاوني التطلعي الذي تتطلبه هذه اللحظة

بات مرة أخرى

كبير مسؤولي أمن المعلومات، جي بي مورغان تشيس

“يسعد Google أن ترى مبادرة الأمن السيبراني عبر الصناعة تجتمع معًا وأن تجعل Mythos Preview متاحة للمشاركين عبر Vertex AI. لقد كان من الأهمية بمكان دائمًا أن تعمل الصناعة معًا لحل المشكلات الأمنية الناشئة، سواء كان ذلك يتعلق بالتشفير ما بعد الكمي، أو الكشف المسؤول عن يوم الصفر، أو البرامج الآمنة مفتوحة المصدر، أو الدفاع ضد الهجمات المستندة إلى الذكاء الاصطناعي. لقد اعتقدنا منذ فترة طويلة أن الذكاء الاصطناعي يطرح تحديات جديدة ويفتح فرصًا جديدة في الدفاع السيبراني، ولهذا السبب قمنا ببناء أدوات مدعومة بالذكاء الاصطناعي – مثل Big Sleep وCodeMender – للعثور على عيوب البرامج الهامة وإصلاحها. سنواصل الاستثمار في منصة الأمن السيبراني الرائدة لدينا وثقافة تركز على حماية المستخدمين والعملاء والنظام البيئي والأمن القومي.

“على مدى الأسابيع القليلة الماضية، تمكنا من الوصول إلى نموذج Claude Mythos Preview، واستخدامه لتحديد نقاط الضعف المعقدة التي فاتتها نماذج الجيل السابق تمامًا. وهذا لا يغير قواعد اللعبة في العثور على الثغرات المخفية سابقًا فحسب، بل يشير أيضًا إلى تحول خطير حيث يمكن للمهاجمين قريبًا العثور على المزيد من ثغرات يوم الصفر وتطوير عمليات استغلال بشكل أسرع من أي وقت مضى. من الواضح أن هذه النماذج يجب أن تكون في أيدي أصحاب المصادر المفتوحة والمدافعين في كل مكان للعثور على نقاط الضعف هذه وإصلاحها قبل أن يتمكن المهاجمون من الوصول إليها. ولعل الأمر الأكثر أهمية هو أن الجميع بحاجة إلى الاستعداد للمهاجمين بمساعدة الذكاء الاصطناعي. سيكون هناك المزيد من الهجمات، وهجمات أسرع، وهجمات أكثر تعقيدًا. لقد حان الوقت لتحديث مجموعات الأمن السيبراني في كل مكان. نحن نشيد بشركة Anthropic لشراكتها مع الصناعة لضمان إعطاء هذه القدرات القوية الأولوية للدفاع أولاً

إن القدرات السيبرانية القوية لـ Claude Mythos Preview هي نتيجة لمهاراتها القوية في البرمجة والتفكير المنطقي. على سبيل المثال، كما هو موضح في نتائج التقييم أدناه، حصل النموذج على أعلى الدرجات من أي نموذج تم تطويره حتى الآن في مجموعة متنوعة من مهام ترميز البرامج.

معاينة Mythos بدون أدوات
معاينة الأساطير مع الأدوات

يمكن العثور على مزيد من المعلومات حول إمكانيات النموذج وخصائص الأمان الخاصة به وخصائصه العامة في بطاقة نظام Claude Mythos Preview.

“لا نخطط لجعل Claude Mythos Preview متاحة بشكل عام، ولكن هدفنا النهائي هو تمكين مستخدمينا من نشر نماذج فئة Mythos بأمان على نطاق واسع – لأغراض الأمن السيبراني، ولكن أيضًا من أجل الفوائد الأخرى التي لا تعد ولا تحصى التي ستجلبها هذه النماذج ذات القدرة العالية. وللقيام بذلك، نحتاج إلى إحراز تقدم في تطوير ضمانات الأمن السيبراني (وغيرها) التي تكتشف وتمنع أخطر مخرجات النموذج. نحن نخطط لإطلاق ضمانات جديدة مع نموذج Claude Opus القادم، مما يسمح لنا بتحسينها وتحسينها من خلال نموذج لا يشكل نفس مستوى المخاطرة مثل Mythos Preview3.

خطط لمشروع Glasswing

إعلان اليوم هو بداية جهد طويل المدى. ولتحقيق النجاح، سيتطلب الأمر مشاركة واسعة النطاق من مختلف أنحاء صناعة التكنولوجيا وخارجها.

سيحصل شركاء مشروع Glasswing على حق الوصول إلى Claude Mythos Preview للعثور على نقاط الضعف أو نقاط الضعف في أنظمتهم الأساسية وإصلاحها – وهي الأنظمة التي تمثل جزءًا كبيرًا جدًا من سطح الهجمات الإلكترونية المشتركة في العالم. ونتوقع أن يركز هذا العمل على مهام مثل اكتشاف الثغرات الأمنية المحلية، واختبار الصندوق الأسود للثنائيات، وتأمين نقاط النهاية، واختبار اختراق الأنظمة.

سيغطي التزام Anthropic بمبلغ 100 مليون دولار أمريكي من أرصدة استخدام النموذج لمشروع Glasswing والمشاركين الإضافيين الاستخدام الكبير خلال هذه المعاينة البحثية. بعد ذلك، ستكون معاينة Claude Mythos متاحة للمشاركين بسعر 25 دولارًا أمريكيًا/125 دولارًا أمريكيًا لكل مليون رمز مميز للإدخال/الإخراج (يمكن للمشاركين الوصول إلى النموذج على Claude API وAmazon Bedrock وGoogle Cloud’s Vertex AI وMicrosoft Foundry).

بالإضافة إلى التزامنا بأرصدة استخدام النموذج، فقد تبرعنا بمبلغ 2.5 مليون دولار أمريكي إلى Alpha-Omega وOpenSSF من خلال Linux Foundation، و1.5 مليون دولار أمريكي إلى Apache Software Foundation لتمكين مشرفي البرامج مفتوحة المصدر من الاستجابة لهذا المشهد المتغير (يمكن للمشرفين المهتمين بالوصول التقديم من خلال برنامج Claude for Open Source).

ونحن نعتزم توسيع نطاق هذا العمل والاستمرار فيه لعدة أشهر، وسوف نشارك أكبر قدر ممكن من المعلومات حتى تتمكن المنظمات الأخرى من تطبيق الدروس المستفادة على أمنها الخاص. سيتبادل الشركاء، إلى الحد الذي يستطيعون، المعلومات وأفضل الممارسات مع بعضهم البعض؛ وفي غضون 90 يومًا، ستقدم Anthropic تقريرًا علنيًا عما تعلمناه، بالإضافة إلى نقاط الضعف التي تم إصلاحها والتحسينات التي تم إجراؤها والتي يمكن الكشف عنها. وسنتعاون أيضًا مع المنظمات الأمنية الرائدة لإصدار مجموعة من التوصيات العملية حول كيفية تطور الممارسات الأمنية في عصر الذكاء الاصطناعي. من المحتمل أن يشمل ذلك:

  • عمليات الكشف عن نقاط الضعف؛
  • عمليات تحديث البرامج؛
  • أمن المصادر المفتوحة وسلاسل التوريد؛
  • دورة حياة تطوير البرمجيات وممارسات التصميم الآمن؛
  • معايير الصناعات الخاضعة للتنظيم؛
  • قياس الفرز والأتمتة؛ و
  • أتمتة التصحيح.

تجري Anthropic أيضًا مناقشات مستمرة مع مسؤولي الحكومة الأمريكية حول Claude Mythos Preview وقدراتها السيبرانية الهجومية والدفاعية. وكما أشرنا أعلاه، فإن تأمين البنية التحتية الحيوية يمثل أولوية قصوى للأمن القومي للدول الديمقراطية – وظهور هذه القدرات السيبرانية هو سبب آخر يجعل الولايات المتحدة وحلفائها يحافظون على قيادة حاسمة في تكنولوجيا الذكاء الاصطناعي. وللحكومات دور أساسي تلعبه في المساعدة على الحفاظ على تلك الريادة، وفي تقييم وتخفيف مخاطر الأمن القومي المرتبطة بنماذج الذكاء الاصطناعي. ونحن على استعداد للعمل مع الممثلين المحليين وعلى مستوى الولايات والفيدراليين للمساعدة في هذه المهام.

نأمل أن يتمكن مشروع Glasswing من زرع جهد أكبر عبر الصناعة والقطاع العام، حيث تساعد جميع الأطراف في معالجة أكبر الأسئلة حول تأثير النماذج القوية على الأمن. نحن ندعو أعضاء صناعة الذكاء الاصطناعي الآخرين للانضمام إلينا للمساعدة في وضع معايير الصناعة. وفي الأمد المتوسط، قد تكون هيئة خارجية مستقلة ــ قادرة على الجمع بين مؤسسات القطاعين العام والخاص ــ المكان المثالي لمواصلة العمل في مشاريع الأمن السيبراني واسعة النطاق هذه.

RELATED ARTICLESMORE FROM AUTHOR