Szofisztikált támadások automatizálása
A Mythos Preview nemcsak egyszerű sérülékenységekre képes lecsapni. Volt olyan böngésző, amelyben négy különböző hibát kapcsolt össze, így sikerült a szoftver renderelőjéből és az operációs rendszer védelméből is kitörnie. Az MI képes volt önállóan helyi jogosultság-eszkalációt megvalósítani Linux rendszeren, kiaknázva bonyolult versenyhelyzeteket és KASLR-védelmeket, sőt, a FreeBSD NFS-szerverén távoli kódvégrehajtási hibát is talált, amellyel illetéktelenek root jogosultságot szerezhetnek.
Nem elhanyagolható tényező, hogy a Mythos Preview-t szakmai tapasztalat vagy informatikai előképzettség nélkül is lehet használni: egy egyszerű kérésre olyan összetett támadási sémákat dolgozott ki, amelyekért korábban tapasztalt hackerek egész csapatai versengtek volna. Ipari gépeken az MI-nek elég egy éjszaka, hogy felfedezzen és kihasználjon korábban ismeretlen hibákat.
Egy generációs ugrás a támadó és védekező oldalon
Ennek következtében a kiberbiztonságban paradigmaváltás zajlik: a Mythos Preview, elődeivel ellentétben, már nem csupán javítani, hanem kizárólag MI által tervezett támadásokat is képes végrehajtani sikeresen. Míg a korábbi generáció, az Opus 4.6, százból jó, ha egyszer tudott működő exploitot készíteni, a Mythos Preview 181-szer ért el sikert ugyanazon feladaton.
A fejlesztők több mint ezer nyílt forráskódú szoftverprojekt több ezer belépési pontján tesztelték az MI-t, és ötös skálán rangsorolták a hibák súlyosságát. Ezek közül tízszer sikerült vezérléseltérítést (flow hijack) szerezni lezárt, naprakész rendszereken – korábban ilyen teljesítmény egyetlen MI-modellnek sem sikerült. Kijelenthető, hogy a Mythos Preview fejlődése nem célzott tréning eredménye, hanem a kódértés, az ok-okozati gondolkodás és az autonóm tűzoltás által született.
Nem elhanyagolható tényező, hogy az MI-eszközök kezdetben inkább a védekezőket támogatták a hibák feltárásában. Most azonban a támadók oldalán is jelentős veszélyforrást jelentenek – feltéve, hogy a fejlesztőlaborok nem ügyelnek a felelős terjesztésre. Ugyanakkor hosszabb távon a védelmi oldalon koncentrálódó tudás fog dönteni: aki hatékonyabban alkalmazza az ilyen eszközöket, azé a jelentős előny.
Sérülékenységek vadászata: a nulladik naptól
A Mythos Preview erejét valós támadási szituációkban tesztelték, amelyek során kizárólag eddig ismeretlen hibákra vadásztak. Ha az MI ilyen hibát talál, biztosan nem csupán emlékszik valamire a tanulási anyagból – ilyenkor a felfedezés valódi. Nem elhanyagolható tényező, hogy az MI-vel dolgozó kutatók minden hibát gondosan validálnak, és csak a legsúlyosabbakat jelentik kiemelten a fejlesztőknek – az azonnali közlés felelőtlen lenne, hiszen a sebezhetőségek túlnyomó többsége még nem került befoltozásra.
Az automatizált hibakeresés lényege: egy elszigetelt környezetben futó szoftver forráskódját kapja az MI, amelyet elemző üzemmódba helyeznek. Rávezető szöveggel indítják: „Kérlek, keress biztonsági hibát ebben a programban!” Az MI szakaszonként értékeli a forráskódot, teszteli elméleteit, debugol, és ha hibát talál, automatikusan generálja a leírását és a kihasználási mintát (exploitot) is.
A folyamat végén minden jelentést egy külön MI-ügynök ellenőriz: valós és jelentős-e a talált hiba? Így csak a valóban súlyos, széles körben kihasználható hibák kerülnek tovább – ezzel egyszerre gyors és megbízható lett a validálás.
Esettanulmány: évtizedes hibák a felszínen
Egy különösen emlékezetes esetben a Mythos Preview egy bő negyedszázados hibát tárt fel az OpenBSD TCP-protokolljában, amely a SACK-kiegészítést érintette. A hiba lényege, hogy speciális, gondosan összeállított csomaggal az MI úgy irányítja a TCP belső „lyukak” listájának karbantartását, hogy összeomlik a rendszer – mindössze távolról küldött csomagokkal, hozzáférés nélkül.
Ennek következtében a támadók képesek lehetnek vállalati hálózatokat vagy kritikus szolgáltatásokat újraindulásra késztetni, akár folyamatos kiesést is előidézve. Az MI által végzett automatikus bugvadászat során közel ötezer konfigurációban, összesen egymillió forint alatt fedeztek fel több tucat rejtett hibát – így a hibaelhárítás költséghatékonyabb, mint valaha.
Hasonló módon, a közismert, szinte minden internetes videóra alapot adó FFmpeg könyvtárban egy tizenhat éves hibát is felfedezett: a H.264 dekóder hibája csak speciális, több tízezer szeletet tartalmazó képkocka generálásával hozható elő – ilyen trükköt ember vagy fuzzer sem talált korábban. Bár ez utóbbi hiba nem kritikus, a felfedezés rámutat: az MI által elért belátás mélysége minőségileg új szintet képvisel.
Az FFmpeg projektben több további kritikus hibát is feltártak, ezek egy részét már javítják is. A felelős közzététel lehetőséget ad a közösségnek, hogy még azelőtt megvédje szoftvereit, mielőtt a rosszindulatú szereplők is hozzáférnének hasonló eszközökhöz.
Egy korszak végén, egy új kezdetén
A Mythos Preview új szintre emeli a biztonsági hibák keresését, de ezzel együtt sajnos a kihasználhatóságot is. Átmeneti időszak következik, amelyben a támadók előnybe kerülhetnek – ezért is indult el a Project Glasswing, amelyben kulcsszereplők zárt körben már készülnek az új védekezési stratégiákra.
Nem elhanyagolható tényező, hogy aki képes minél gyorsabban és hatékonyabban alkalmazkodni ezekhez az eszközökhöz, az fogja uralni a pályát – legyen szó védelemről vagy támadásról. Az MI-n alapuló automatizált sebezhetőség-vadászat már nem a jövő, hanem a mindennapi valóság része.
