המודל החזיתי של אנת'רופיק איתר אלפי פרצות אבטחה בתוכנות הגדולות בעולם

הנתונים המרכזיים מאחורי הכתבה

המספרים שעלו ממיזם Glasswing מצביעים על קפיצת מדרגה ביכולת של AI לאתר חולשות אבטחה. אלה שלושת הנתונים המרכזיים:

מה זה Project Glasswing?

Glasswing הוא מיזם של אנת'רופיק, בשיתוף ממשלת ארצות הברית, שמטרתו לאבטח תוכנות קריטיות בעידן ה-AI. הרעיון פשוט וגם מטריד: אם מודל AI מסוגל למצוא חולשות אבטחה טוב יותר מכמעט כל בני אדם, עדיף שהוא יימצא בידי המגינים לפני שיגיע לידי התוקפים.

במרכז המיזם עומד מודל חזית של אנת'רופיק שטרם שוחרר לציבור הרחב, ושנקרא Claude Mythos. בניגוד למודלים הרגילים, היכולות שלו בתחום הסייבר חזקות עד כדי כך שאנת'רופיק החליטה לא לשחרר אותן באופן פתוח, אלא להפעיל אותן בסביבה מבוקרת מול ארגונים נבחרים בלבד.

למה ממשלה מעורבת בכלל?

כי מדובר בתשתית קריטית. מערכות ההפעלה, הדפדפנים ושרתי הליבה שעליהם רץ האינטרנט הם נכס לאומי לכל דבר. ממשלה שמבינה שמודל AI יכול לאתר בהם פרצות לפני יריב זר, רוצה להיות בצד שמתקן, ולא בצד שמופתע.

מה המודל מצא?

התוצאות מהשבועות הראשונים היו מדהימות. המודל איתר יותר מ-10,000 חולשות ברמת חומרה גבוהה או קריטית, ביניהן אלפי פרצות יום אפס, כלומר חולשות שלא היו ידועות כלל למפתחי התוכנה. הן נמצאו בכל מערכת הפעלה מרכזית ובכל דפדפן מרכזי, וגם ברכיבי תוכנה חשובים נוספים.

חשוב להבין מה המשמעות של פרצת יום אפס: זו חולשה שאיש אינו יודע עליה, ולכן אין מולה הגנה. תוקף שמוצא אותה ראשון יכול לנצל אותה בלי שאיש יבחין. כשמודל AI מסוגל לסרוק בסיסי קוד ענקיים ולמצוא עשרות אלפי חולשות כאלה במהירות, מאזן הכוחות בין מגינים לתוקפים משתנה מהיסוד.

• כל מערכות ההפעלה המרכזיות נסרקו, ובכולן נמצאו חולשות.
• כל הדפדפנים המרכזיים נכללו בבדיקה.
• רכיבי ליבה שעליהם נשען האינטרנט כולו עברו ניתוח עומק.

למה זה כל כך מהיר?

איתור חולשות באופן ידני הוא תהליך איטי שמוגבל ביכולת האנושית לקרוא ולהבין כמויות עצומות של קוד. חוקר אבטחה מנוסה יכול לעבור על אלפי שורות ביום, אך מודל AI סורק מיליוני שורות בשעות. הוא מזהה דפוסים חוזרים של חולשות, מצליב אותם על פני פרויקטים שונים, ומוצא בדיוק את אותם פגמים שעין אנושית מתעייפת ומפספסת. זו הסיבה שעשרות אלפי חולשות התגלו בתוך שבועות בלבד, ולא בתוך שנים.

הבאג בן 27 השנה ב-OpenBSD

הממצא הסמלי ביותר הוא חולשה בת 27 שנה במערכת OpenBSD, שנחשבת לאחת ממערכות ההפעלה המאובטחות בעולם ומשמשת להרצת חומות אש ותשתיות קריטיות. מדובר בפגם בפרוטוקול שמאפשר לתוקף להפיל מכשיר מרחוק, פשוט על ידי פתיחת חיבור רשת. החולשה הזו ישבה שם כמעט שלושה עשורים בלי שאיש גילה אותה.

וזה לא נגמר שם. המודל מצא גם חולשה בת 16 שנה ברכיב וידאו נפוץ, פגיעות הרצת קוד מרחוק במערכת FreeBSD, ושרשראות חולשות שמאפשרות הסלמת הרשאות בליבת לינוקס. כל אחת מהן לבדה היא ממצא משמעותי, וביחד הן מציירות תמונה ברורה.

מי שותף למיזם?

רשימת השותפים מלמדת על הרצינות. במיזם משתתפות חלק מהחברות הגדולות בעולם, ביניהן אמזון, אפל, גוגל, מיקרוסופט, סיסקו, NVIDIA, וגם גופים כמו קרן לינוקס וחברות אבטחה מובילות. כולם מקבלים גישה למודל כדי לאתר ולתקן חולשות בתוכנות שלהם לפני שתוקפים ינצלו אותן.

למה דווקא הענקיות האלה?

כי הן בעלות התשתית הקריטית ביותר. מערכות ההפעלה, שבבי המעבדים, שירותי הענן והרשתות הפיננסיות שלהן משרתים מיליארדי משתמשים. חולשה בודדת באחת מהן עלולה להשפיע על העולם כולו, ולכן דווקא הן זקוקות לכלי האיתור החזק ביותר. זו אותה קבוצת ענקיות שאנחנו רואים שוב ושוב בליבת מירוץ ה-AI. בכתבה קודמת ניתחנו איך ממשלת ארצות הברית בחרה את שותפותיה בתחום ה-AI, וגם כאן ברור שמי שיושב בליבת המשחק נהנה מגישה מוקדמת ליכולות החזקות ביותר.

המהלך הזה גם משתלב במגמה רחבה של כניסת AI לכל מוצר. ראינו זאת כשאפל הכניסה עוזרי AI לאייפון, ועכשיו אנחנו רואים את אותה עוצמה מופנית לאבטחת התשתית שעליה הכל רץ.

חרב הפיפיות: למה זה גם מסוכן?

אותה יכולת בדיוק שמאפשרת למגינים לתקן חולשות, מאפשרת לתוקפים למצוא אותן. זו הדילמה המרכזית. מודל שיודע לאתר אלפי פרצות יום אפס הוא נשק רב עוצמה, ובידיים הלא נכונות הוא יכול לגרום נזק עצום לתשתיות קריטיות.

איך אנת'רופיק מתמודדת עם זה?

בכך שהיא נועלת את היכולות הרגישות מאחורי גישה מבוקרת, ומשחררת לציבור רק גרסה עם מנגנוני הגנה. זו אותה מגמה של זהירות שמלווה את כל שחרור המודלים החזקים. בעולם שבו כל דור חדש של מודל קופץ ביכולת, השאלה כבר אינה רק כמה המודל חזק, אלא כמה אחראי השחרור שלו.

מה זה אומר על אבטחת המידע ועל העסק שלכם?

גם אם אתם לא מנהלים מערכת הפעלה או דפדפן, ההשלכות נוגעות אליכם. ראשית, התוכנות שאתם משתמשים בהן יהיו בטוחות יותר, כי הענקיות מתקנות חולשות בקצב חסר תקדים. אבל שנית, וזה החלק החשוב, אותם כלים יהיו זמינים גם לתוקפים, ולכן רף האבטחה של כל עסק חייב לעלות.

מה עסק קטן צריך לעשות?

הבסיס לא השתנה, אבל נעשה דחוף יותר: עדכוני תוכנה שוטפים, סיסמאות חזקות, גיבויים, והקפדה על הרשאות. ככל שהתקיפות נעשות אוטומטיות ומהירות יותר, כך חשוב יותר לסגור את הפרצות הבסיסיות. אצל לקוחות שלי, כשאנחנו בונים אוטומציות עסקיות או מערכות דיגיטליות, אבטחה היא חלק בלתי נפרד מהתכנון מהרגע הראשון, ולא משהו שמוסיפים בסוף.

בעולם שבו כל נוכחות דיגיטלית נסרקת, חשוב גם לבנות נכון את התשתית השיווקית. בין אם מדובר בקידום אורגני או באתר עסקי, פלטפורמה מעודכנת ומאובטחת היא הבסיס לכל דבר אחר. אבטחה טובה היא לא רק הגנה, אלא גם אמון של הלקוחות.

המגמה הזו מתחברת גם לאופן שבו לקוחות מוצאים אתכם. ככל שכלי ה-AI נכנסים לכל תחום, גם העוזרים שמספקים תשובות ישירות וגם מנועי החיפוש נשענים על אותה טכנולוגיה. לכן נוכחות נכונה במנועי חיפוש מבוססי AI הופכת לחלק מאותה תמונה רחבה של עסק שמתנהל נכון בעידן הדיגיטלי.

סיכום: מה כדאי לקחת מההכרזה?

מיזם Glasswing הוא הצצה לעתיד של אבטחת המידע, שבו AI הוא גם המגן הגדול ביותר וגם האיום הגדול ביותר. אלה שלוש המסקנות המעשיות לכל בעל עסק:

1. רף האבטחה עולה לכולם. כשהכלים לאיתור חולשות נעשים חזקים וזמינים, אסור להזניח את היסודות של אבטחת מידע.
2. עדכונים הם לא המלצה אלא חובה. חולשה שהתגלתה מתוקנת מהר, ומי שלא מעדכן נשאר חשוף דווקא לפרצות הידועות.
3. תכננו אבטחה מראש. בכל מערכת או אתר חדש, אבטחה צריכה להיות חלק מהבסיס ולא תוספת מאוחרת.

אם אתם רוצים לבנות נוכחות דיגיטלית שהיא גם חכמה וגם מאובטחת, ולהבין איך לשלב את הכלים החדשים בצורה אחראית, מוזמנים לעיין בשירותים הדיגיטליים שאני מציע. בעידן ה-AI, אבטחה היא לא מותרות, אלא תנאי בסיסי לכל עסק.