Anthropic hat im Gespräch über künstliche Intelligenz und Sicherheit einen markanten Schritt gemacht: sein neues Sprachmodell, Claude Opus 4.6, hat dazu beigetragen, mehr als 500 Schwerkraftlücken in Open Source-Bibliotheken zu identifizieren, darunter Projekte wie Gespenster, OpenSC und CGIF. Das Unternehmen erklärt, dass das Modell keine speziellen Anweisungen für diese Aufgaben benötigte und dass die Ergebnisse von Menschen validiert wurden, bevor die Betreuer gemeldet wurden.
Claude Opus 4.6 wurde als Version des Modells vorgestellt, das in der Lage ist, die Programmierfähigkeiten zu verbessern: Code-Review, Reinigung und Begründung auf komplexen Routinen. Anthropic sagt, er testete es in einer virtualisierten Umgebung, in der das Modell Zugang zu traditionellen Fehlerforschungswerkzeugen hatte, wie Depuratoren und Eingabegeneratoren (Fuzierer), aber ohne Anleitung zu erhalten, wie sie zu verwenden. Die Idee war, ihre "Standard" Leistung zu messen, ohne benutzerdefinierte Gerüste, die die Suche führen würde.
Was die Nachrichten interessant macht, ist nicht nur die Anzahl der Ergebnisse, sondern die Art der Fehler entdeckt. Einige der genannten Beispiele umfassen die Identifizierung, durch Analyse der Geschichte der Verpflichtungen, der fehlenden Überprüfung von Grenzen in Ghostscript, die einen Ausfall verursachen könnte; die Erkennung von Anrufen zu unsicheren Funktionen wie Strrchr () und Strcat () in OpenSC, die zu Pufferüberläufen führte; und ein Überlauf in der Haufen in CGIF, die zu verstehen, wie der LZW-Algorithmus mit dem GIF-Format verbunden ist, um Verwundbarkeit auszulösen. Im Fall von CGIF veröffentlichten die Betreuer eine Korrektur in Version 0.5.1.
Diese Geschichten erklären, warum ein IA nützlich sein kann, wenn traditionelle Methoden stolpern. Coverage Fuzzer und andere automatische Techniken erzeugen zufällige Eingaben oder durch laufende Metriken geführt, und arbeiten sehr gut für viele Arten von Fehlern. Es gibt jedoch Fehler, die nur dann auftreten, wenn eine bestimmte Sequenz von algorithmischen Entscheidungen erzeugt wird oder wenn eine konzeptionelle Beziehung zwischen einem Format und einem Prozess verstanden werden muss - Szenarien, in denen ein Ansatz von "Annäherung" einen Unterschied machen kann. Für diejenigen, die auf Fuzzing-Techniken und ihre Grenzen vertiefen wollen, Ressourcen wie OSS-Fuzz oder Projekte wie American Fuzzy Lop (AFL) Der Stand der Technik ist gut dokumentiert.
Es ist wichtig zu betonen, dass Anthropic diese Ergebnisse nicht als die letzte autonome Ressource vorstellte: Das Unternehmen behauptet, jedes Versagen zu validieren, falsche Positive oder Modell Halluzinationen zu vermeiden. Insbesondere nutzten sie Claude, um Speicher-Korruptions-Schwachstellen zu priorisieren und dann zu überprüfen, dass diese Probleme reproduzierbar und real waren, bevor sie die Betreuer informierten. Diese menschliche Verifikationsphase ist der Schlüssel, um Sprachmodell-basierte Erkennung nützlich und verantwortlich zu machen.
Gleichzeitig revidiert diese Ankündigung eine ethische und sicherheitspolitische Debatte. Die gleiche Fähigkeit, Fehler zu finden, kann für beleidigende Zwecke genutzt werden. Anthropic erkennt es und hat in früheren Mitteilungen darauf hingewiesen, dass seine Modelle auch komplexe Angriffe erleichtern könnten, wenn sie schädlich verwendet werden. Das Unternehmen sagt, dass es die Anpassung von Schutzmaßnahmen und die Hinzufügung von Kontrollen zur Vermeidung von Missbrauch ist; ein Lesen seiner Reflexionen über Risiken und autonome Werkzeuge kann auf seinem technischen Blog ( Bericht über die Nulltage und anderen entsprechenden Einträgen).
Für die Sicherheitsgemeinschaft und für die Verantwortlichen für Open Source-Projekte sind die Auswirkungen doppelt. Einerseits kann mit einem Werkzeug, das den Standort schwerer Sicherheitslücken beschleunigt, die Belastung bei oft überlasteten Betreuern entlasten und helfen, zu parken, bevor ein Problem frei ausgenutzt wird. Auf der anderen Seite eröffnet sie die Notwendigkeit, solide Prozesse für verantwortungsvolle Offenlegung, Priorisierung und Wartung zu etablieren, um sicherzustellen, dass Korrekturen schnell integriert werden. Agenturen wie CISA Sie bestehen auf der Wichtigkeit, die Sicherheitslücken, die als grundlegende Verteidigungsmaßnahme bekannt sind, rasch zu beheben.
Die aktuelle Kapazität dieser Modelle sollte auch relativisiert werden: die Identifizierung von Mustern, die Annahmen und die Priorisierung von Fehlern sind noch kein Ersatz für Sicherheitsausrüstung. Die menschliche Arbeit ist nach wie vor unerlässlich, um kontrolliert zu reproduzieren, auszunutzen und die Misserfolge zu korrigieren sowie die tatsächlichen Auswirkungen in jedem Kontext zu beurteilen. Was diese Werkzeuge ändern, ist die zeitliche Dynamik: Sie können Angriffsvektoren entdecken, die unbemerkt passieren würden und somit das Fenster reduzieren, in dem ein Angreifer ausnutzen könnte.
Die Zusammenarbeit zwischen IA und Sicherheit eröffnet die Möglichkeit, Kräfte auf dem digitalen Schlachtfeld auszugleichen. Wenn IA-Techniken mit Kontrollen, Transparenz und Ethik angewendet werden, können sie für diejenigen, die die Infrastruktur verteidigen, "multipliers" werden. Für dieses Potenzial zur Materialisierung wird es notwendig sein, offene Ökosystem-Wartungspraktiken zu verbessern, Audits zu finanzieren und sowohl Entwickler als auch Manager über die Interpretation und Validierung automatisierter Berichte zu informieren.
Kurz gesagt ist der Fall von Claude Opus 4.6 ein Beispiel dafür, was bereits möglich ist: ein Sprachmodell, das die Suche nach komplexen Fehlern unterstützt und Korrekturen priorisiert. Aber es ist kein Zauberstab oder ein Ersatz für die menschliche Arbeit. Die Herausforderung besteht nun darin, die Annahme dieser Werkzeuge verantwortungsvoll zu verwalten und die Geschwindigkeit und den Umfang der IA mit den Verifikations-, Outreach- und Patch-Prozessen zu kombinieren, die Benutzer und Systeme schützen. Für diejenigen, die Claudes Entwicklung und Anthropic Analyse verfolgen wollen, sind ihre Ankündigung der Version und anschließende Reflexionen auf ihrer Website verfügbar ( Opus 4.6 Start) und auf seinem technischen Blog.
Wenn Sie daran interessiert sind, mehr darüber zu wissen, warum einige Fehler zu traditionellen Fuzzern entkommen oder wie Algorithmen wie LZW in Formaten wie GIF arbeiten, ist eine zugängliche Erklärung auf der Seite der LZW auf Wikipedia was hilft zu verstehen, warum bestimmte Fehler ein konzeptionelles Verständnis erfordern, um aktiviert zu werden.
Die Ankunft von IA mit Code-Audit-Funktionen stellt ein leistungsfähiges Versprechen und einen Aufruf zur kollektiven Verantwortung dar: indem es die Sicherheit verbessert, ohne neue Angriffsfenster zu öffnen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...