7 Maja, 2026
image

Cyber sigurnost: Claude Mythos: Mit ili bauk?

Eksperimentalne funkcije unutar Anthropicovog modela Claude sugeriraju da vještačka inteligencija počinje napuštati uloge asistenta i nositi plašt samostalnog detektora sistemskih ranjivosti. Tu blijede do sada jasne granice između razvoja, testiranja i zloupotrebe softvera, uz dalekosežne implikacije po sigurnost, regulativu i dinamiku nastanka cyber rizika

Piše: Mirza Bahić; E-mail: mirza.bahic@asadria.com

Od svog ulaska u mainstream, industrija cyber sigurnosti vještačku inteligenciju posmatra kao tehnologiju zamalo čudesne snage, sposobnu da ojača i odbranu i napad. Ono što je bilo manje jasno jeste kada će se taj potencijal pretočiti u konkretan pomak kada su u pitanju metode pronalaska ranjivosti unutar softvera. Posljednji razvoj događaja oko Claude Mythos modela kompanije Anthropic sugerira da je trenutak suočavanja s porotom pred nama, a da se na presudu historije neće morati dugo čekati.

Kriza stručnosti kao bedema sigurnosti

Na optuženičkoj klupi je projekat Glasswing i inicijativa Mythos, koji su, u maniru horor filma, rezultat eksperimenata kompanije Anthropic. Oboje su porodili model koji nije samo sposoban razumjeti softverski kod već ga i sistematski propitivati. A propitivanje bilo čega je opasna rabota jer su veliki jezički modeli, u javnosti znani i kao AI, već ranije pokazali kompetencije u pogledu pisanja, tumačenja i otklanjanja grešaka u softveru. Ono oko čega Mythos već gradi mit oko sebe jeste njegova navodna sposobnost sistematskog prepoznavanja slabosti unutar kompleksnih sistema, uključujući i one koje nisu odmah očigledne ljudskim analitičarima.

Time se označava prelazak iz faze asistencije u autonomiju AI sistema. Oni dobijaju osobinu koja je, do sada, bila prerogativ ljudskih aktera u ovom procesu. Umjesto da podržava developere i sigurnosne analitičare u pojedinačnim zadacima, Mythos model obavlja posao kroz cijeli analitički lanac, od razumijevanja koda do identifikacije logičkih propusta, nesigurnih praksi ili strukturnih ranjivosti.

I tu su počeci korijenja aktuelne nelagode u svijetu cyber sigurnosti. Jer, tradicionalna fragmentiranost ovog procesa bila je njegova i kletva i blagoslov, ali, u konačnici, i njegova ishodišna tačka. Ona se sada urušava jer su pregled koda, penetracijsko testiranje i istraživanje ranjivosti dugo postojali kao odvojene discipline, od kojih je svaka imala vlastite zahtjeve u pogledu potrebne ekspertize i vremena. Uvođenje AI sistema sposobnih da obuhvate sve navedeno mijenja tempo u kojem se softverski rizik uopće može razumjeti.

Kompresija ciklusa upravljanja ranjivošću

Implikacije postaju jasnije kada se posmatra tradicionalni životni ciklus ranjivosti. Historijski gledano, ovaj proces se odvijao kroz vremenski slijed. Propusti su se otkrivali za vrijeme pregleda ili ciljanog testiranja. Nakon toga se razvijao dokaz koncepta kako bi se ukazalo na mogućnost eksploatacije uočene slabosti. Slijedila je privatna ili javna obavijest o detekciji, a tek iza toga i sanacija.

Nove mogućnosti koje nudi Claude upućuju na kompresiju ovog nekada dobro poznatog ciklusa. Otkrivanje, analiza i sanacija problema sada se mogu odvijati unutar istog sistema i gotovo u realnom vremenu. To donosi jasne prednosti za odbrambeni tim. Sigurnosni timovi mogu analizirati velike i složene baze koda uz nivo konzistentnosti i brzine koji je teško postići ručnim putem. Suptilne ranjivosti, uključujući one u poslovnoj logici, a ne samo u sintaksi, mogu sada se otkrivaju ranije u procesu razvoja.

Gdje nastaje problem? U kompresiji i simetriji, upozoravaju poznavaoci ovih funkcija. Ista svojstva koja ovaj AI model čine efikasnim u odbrambenim kontekstima pretvaraju ga u potencijalno vrijedan alat uništenja koji koriste napadači.  Ekspertiza je nekada predstavljala barijeru ulaska u svijest sofisticirane eksploatacije ranjivosti. Sada je ona manje ograničavajući faktor jer se analiza može povjeriti sistemu koji se skalira bez ograničenja.

No, tu se javlja i problem usklađenosti koji postaje sve složeniji čak i u kontrolisanim uslovima. Model koji je treniran za identifikaciju ranjivosti mora, po definiciji, razumjeti i logiku njene eksploatacije. Pri tome, granica između opisivanja slabosti i omogućavanja njene zloupotrebe nije uvijek jasna i tu je grm u kojem trenutno leži preplašeni zec sigurnosne struke. Drugim riječima, ako je AI sistem previše ograničen u detekciji, on gubi svoju vrijednost za legitimne sigurnosne zadatke. Ako je, pak, previše otvoren, onda otvara puteve koji lako vode do zloupotrebe otkrivenih ranjivosti. Održavanje ove ravnoteže postaje sve teže kako modeli napreduju, posebno u situaciji kada korisnici mogu testirati njihove granice kroz iterativne upite.

Podizanje standarda sigurnosti softvera

Za proizvođače softvera, otkrivanje ranjivosti pomoću AI-ja kreira dvostruki pritisak. S jedne strane, to je prilika za unapređenje sigurnosnih praksi. Integracija AI alata u razvojne procese omogućava ranije otkrivanje i rješavanje problema, čime se smanjuje vjerovatnoća od pojave skupih incidenata. S druge strane, to podiže osnovni standard očekivanja. Ako se ranjivosti mogu brzo i sistematski otkriti, tolerancija prema njihovom ignorisanju opada.

Ovaj pomak usklađen je s regulatornim pravcem u Evropi. Okviri poput NIS2 i Akta o cyber otpornosti naglašavaju proaktivno upravljanje rizikom i principe sigurnosti ugrađene u sam dizajn. U takvom okruženju, sposobnost kontinuiranog procjenjivanja ranjivosti može postati ne samo preporučena praksa već i obaveza. AI alati poput Claudea mogu pomoći u ispunjavanju tih zahtjeva, ali i jasnije razotkriti nedostatke.

Brži i nestabilniji pejzaž prijetnji

Izvan domene regulatornog okvira, širenje pejzaža prijetnji vjerovatno će se razvijati kao odgovor na nove sposobnosti AI-ja. Veća brzina otkrivanja dovest će i do ubrzanja uvođenja pokušaja eksploatacije slabosti. Sistemi s lošim održavanjem i bez adekvatnog praćenja su privlačnije mete, posebno ako su lišeni redovnih sigurnosnih provjera. Istovremeno, organizacije koje usvoje odbranu uz oslanjanje na AI mogu efikasnije anticipirati i neutralizirati prijetnje, što povlači jasnu razliku između onih koji se prilagođavaju ovom trendu i onih koji ga ignorišu na vlastitu propast.

Iz navedenog trenja proizlazi suptilan, ali važan konceptualni pomak. Vještačka inteligencija više nije ograničena na ulogu instrumenta kojim upravljaju sigurnosni stručnjaci. Ona postaje aktivni učesnik u sigurnosnom procesu i generator uvida koji utiču i na odbrambene i na ofanzivne strategije. To otvara neriješena pitanja odgovornosti, informisanja i pristupa. Ako AI sistem prepozna ranjivost, ko je vlasnik tog saznanja i kome se ono prosljeđuje? I, najvažnije, koje su mjere dovoljne da se spriječi da takvo otkriće ne preraste u eksploataciju? Odgovori na ova pitanja još se čekaju. Optimisti bi rekli: nasreću, a ne nažalost.

Related Posts

Sigurnost željezničke infrastrukture

Autor

Termalne kamere vraćaju se na pozornicu

Autor

Budućnost nije u integraciji, već u unifikaciji sistema

Autor

IZDANJA

NAJČITANIJE

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.