בגלל ה-AI: מיקרוסופט חשפה מספר "מפלצתי" של באגים

מיקרוסופט חשפה באחרונה מספר גדול במיוחד – 163 – של CVE's (פגיעויות וחשיפות נפוצות). היא ביצעה את החשיפה במסגרת השחרור החודשי של תיקוני האבטחה שלה. שמונה מהפגיעויות קיבלו דירוגי חומרה "קריטיים". אנליסטים ציינו ששבע מהן אלה פגיעויות בביצוע קוד מרחוק, שמשפיעות על מגוון סביבות וכלי מיקרוסופט.

חוקרי איומים ב-TrendAI ציינו כי החשיפה היא חלק מגילויים הולכים וגוברים של פגיעויות מבוססות בינה מלאכותית בתקופה האחרונה. לפי החוקר דסטין צ'ילדס, "הנתון קשור, ככל הנראה, להתפתחויות הקשורות לבינה מלאכותית, כולל הגילויים ההולכים וגדלים של פגיעויות באמצעות כלים מבוססי מודלי שפה גדולה (LLM)".

"לפי הספירה שלי, זה השחרור החודשי השני בגודלו בהיסטוריה של מיקרוסופט", כתב צ'יילדס, ראש תחום מודעות לאיומים ב-TrendAI. "יש הרבה גורמים שאפשר לשער שמצדיקים את הנתון הגדול, אבל סביר להניח שגם מיקרוסופט רואה עלייה בפגיעויות שנמצאו על ידי כלי בינה מלאכותית. הנתונים שילשו, למעשה, את עצמם, מה שהופך את המיון שלהם לאתגר, בלשון המעטה".

"אין עלייה משמעותית בחשיפה של פגיעויות המונעות על ידי AI"

בהודעת מיקרוסופט נמסר כי "מרכז התגובה לאבטחה שלנו (MSRC) מטפל באלפי דיווחי פגיעויות, המגיעים הן מתוך החברה והן מחוקרים חיצוניים, מדי שנה. המספר שמטופל בכל עדכון ביום שלישי יכול להשתנות". לדבריה, "הנתון של העדכון הנוכחי לא משקף עלייה משמעותית בחשיפה של פגיעויות המונעות על ידי בינה מלאכותית". בענקית מרדמונד ציינו כי "מודלים חדשים של בינה מלאכותית לגילוי פגיעויות מאיצים את העבודה ארוכת השנים של MSRC, שמשתמשת באופן פעיל בכלי AI ובמודלים חדשים כדי למצוא ולתקן פגיעויות במהירות רבה יותר ולהגן טוב יותר על הלקוחות".

"ה-AI עלולה להפוך את שיטת ניהול הפגיעויות הקיימות"

הגילוי מגיע פחות משבוע לאחר שאנת'רופיק ושותפיה פרסמו טענות שמציגות את יכולות גילוי הפגיעויות החזקות במיוחד של מודל מיתוס (Claude Mythos) שלה – שלא פורסם. לפי החברה, "מיתוס מראה שמודלים של בינה מלאכותית יכולים כיום לעלות על כל האנשים, למעט המיומנים ביותר – במציאת וניצול פגיעויות תוכנה". החברה החליטה בעקבות זאת שלא לשחרר את המודל לציבור.

אנליסטים מפורסטר הגיבו לדברים אלה של אנת'רופיק באומרם כי "ברור שבקרוב, הבינה המלאכותית עלולה להפוך לחלוטין את שיטות ניהול הפגיעויות הקיימות".

אנת'רופיק, מצידה, השיקה לפני ימים אחדים תוכנית שמטרתה לפעול באופן יזום נגד האפשרות לשימוש לרעה בטכנולוגיה: היא השיקה יוזמה חדשה בשם Project Glasswing, שמספקת את Claude Mythos Preview למיקרוסופט ולשחקנים מרכזיים נוספים בתעשייה.