Hogyan változtatja meg az MI a szoftverbiztonsági gondolkodást?
A hagyományos biztonsági eszközök mintázatokat keresnek a kódban, és csak az ismert problémákra vadásznak. Azonban az MI által vezérelt elemzés egészen új szintje következik most: a Claude Code Security már képes úgy elemezni a kódot, mintha egy szenior kódvizsgáló dolgozna vele. Végigköveti az adatmozgást az egész alkalmazásban, sőt, képes olyan üzleti logikai hibákat és hozzáférési jogosultsági gyengeségeket is feltérképezni, amelyekről eddig nem is volt szabályalapú leírás.
Az informatikai vezetőknek mostantól egy új típusú kérdésre kell felkészülniük a vezetőséggel zajló éves egyeztetéseken: hogyan lehet bevezetni az ok-okozati alapú MI-szkennelést még azelőtt, hogy a támadók kihasználnák a réseket? Ugyanis pusztán az MI alkalmazása már elegendő ahhoz, hogy olyan hibákat fedezzen fel, amelyek mások elől eddig rejtve maradtak.
Mindezek dacára nem minden MI-alapú eszköz képes arra, amire Claude. Míg a GitHub CodeQL szabályalapú működése csak az előre definiált problémákra szűr, addig a Claude saját hipotéziseket is alkot, kikövetkezteti a veszélyes folyamatokat, és egészen új sebezhetőségeket is képes bizonyítani, gyakran úgy, hogy azokhoz semmiféle direkt szabály nem tartozik.
Három konkrét eset: itt mutatkozik meg az MI előnye
A GhostScript esetében a Claude végigelemezte a teljes commit-hisztorit, és rájött, hogy a gstype1.c-ben javított problémához tartozik még egy sebezhető hívás a gdevpsfx.c-ben, amelyen nem futott át a javítás. Ezután az MI megalkotta a bizonyító példát, amely reprodukálta a hibát — a javítás azóta bekerült a projektbe.
Az OpenSC projektben a hagyományos eszközök kudarcot vallottak, de Claude olyan strcat függvényhívásokat keresett, amelyek gyakran okoznak hibát, majd buffer overflow-t állított elő — mindezt olyan kódágon, amelyre a szokásos fuzzer nem jutott el.
A CGIF könyvtárban a hiba felfedezése az LZW algoritmus szokatlan határhelyzeteinek megértését igényelte: amikor a szótár betelik, a tömörített kimenet hosszabb lehet, mint a bemenet, így buffer overflow történhet. Ezt semmilyen hagyományos ág-lefedettségi mérő sem érzékeli, Claude azonban az algoritmus sajátosságai alapján bukkant a problémára.
Sebezhetőségből fegyver — hogyan akadályozható meg?
Égető kérdés, hogy egy ilyen erejű eszköz ne váljon könnyen bevethetővé a rosszindulatú szereplők számára sem. A szakértők egyöntetű véleménye szerint a kihívás nem kizárólag a pontosságban, hanem az önálló döntésképességben van: ha egy rendszer hipotéziseket alkot, már nem csak keres, hanem aktívan fedez fel és bizonyít, ami teljesen új kockázatokkal jár.
Az Anthropic a validáció során sandboxolt VM-et, alapvető elemzőeszközöket és beépített önszűrést használt, így az MI szűrte és priorizálta a lehetséges hibákat, mielőtt emberek átnézték volna őket. Külsős biztonsági szakértőkkel dolgoztak a talált hibák elhárításán. Fontos, hogy ezek az MI-megoldások főként önkéntesek által karbantartott, alapvető infrastruktúrát jelentő projekteknél találtak hibákat — vagyis amelyeket a nagy cégek használnak, és egy eldugott nyílt forráskódú projekthiba miatt a teljes ökoszisztéma veszélybe kerülhet.
Reális veszély vagy MI-hype?
Tény, hogy az MI mind az offenzíva, mind a védelem oldalán alkalmazható. A vezető biztonsági szakemberek óvatosságra intenek: ha egy MI a csapatnak nulla-napos hibákat tár fel, azzal nem új fegyvert adunk a támadók kezébe, hanem az eddig rejtett gyengeségeinket hozzuk felszínre. A legtöbb támadás amúgy sem ismeretlen hibából, hanem hibás beállításokból, jogosultságkezelési problémákból ered.
Az Anthropic is szigorúan szabályozza, kik használhatják a Claude Code Security-t: kezdetben csak nagyvállalatok és fejlesztői csapatok számára érhető el, szigorú auditálási és validációs folyamatok mellett. Az MI saját működése során is észlel potenciális visszaéléseket, és valós időben képes blokkolni, ha támadást érzékel.
Kihívók és trendek: az MI-háború elkezdődött
Nem az Anthropic az egyedüli szereplő: az OpenAI o3 modellje például most először fedezett fel egy kihasználható use-after-free hibát a Linux SMB megvalósításában, míg az AISLE nevű startup MI-je tucatnyi súlyos hibát talált az OpenSSL-ben, amelyet évek óta tesztelnek már automatizált eszközök.
Ma már nem kérdés: az MI igazi előnye az, hogy ott is talál sebezhetőséget, ahol az emberek és az eszközök rendre elbuknak. A nagy kérdés csak az, ki hasznosítja előbb a technológiát.
Az Anthropic segít befoltozni a több mint 500 sebezhetőséget, de az a rövid idő is, ami a feltárás és a javítás elterjedése között eltelik, mostantól lehetőséget jelent a támadóknak. Az új szoftverbiztonsági korszak elérkezett — a kérdés csak az, hogyan reagálnak rá a leggyorsabb szervezetek.
