Czy AI może przebić bańkę cybersecurity?

Przez lata cyberbezpieczeństwo było jak luksusowy klub. Jeśli chciałeś wejść, musiałeś zapłacić fortunę - albo za armię konsultantów ze stawkami godzinowymi godnymi neurochirurgów, albo za oprogramowanie, którego licencje przyprawiały dyrektorów finansowych o zawroty głowy. Narracja była prosta: "Płaćcie nam miliony, bo inaczej hakerzy was zniszczą". Ten strach stał się paliwem dla jednego z najbardziej napompowanych sektorów w IT. Ale każda bańka w końcu pęka. I wygląda na to, że Claude Mythos właśnie wbił w nią pierwszą, bardzo ostrą szpilkę.

Ekonomia jest nieubłagana. Gdy coś staje się zbyt drogie i elitarne, rynek szuka sposobu, by to zdemokratyzować i urealnić ceny. Skoro przez dekadę bezpieczeństwo było traktowane jako produkt luksusowy, to Claude Mythos i nowa generacja AI zamieniają je w towar powszechny. I to jest chyba najlepsza wiadomość, jaką branża usłyszała od lat.

Claude Mythos

Kilka tygodni temu media obiegła informacja, że Anthropic stworzył model Claude Mythos, który według firmy osiągnął poziom możliwości zbyt ryzykowny, by udostępnić go szerokiej publiczności. Model miał podczas testów autonomicznie wyszukiwać i wykorzystywać luki bezpieczeństwa, w tym również podatności typu zero-day, odnajdując błędy, których wcześniej nie wykryli ani badacze, ani automatyczne skanery. Zamiast trafić do zwykłych użytkowników, Mythos został objęty ograniczonym dostępem w ramach programu Project Glasswing, skierowanego wyłącznie do wybranych organizacji zajmujących się cyberbezpieczeństwem.

Pojawienie się modelu takiego jak Mythos to moment, w którym magia security znika, a zaczyna się czysta matematyka. Skoro AI potrafi znaleźć w kilka minut lukę w OpenBSD, która ukrywała się przez 27 lat, to jaki jest sens płacić zespołowi audytorów za dwa tygodnie ręcznego przeglądania kodu? To nie jest tylko usprawnienie, ale wręcz totalne przeoranie modelu biznesowego, bo:

• firmy konsultingowe nie będą już mogły windować cen tylko dlatego, że mają w zespole kilku znanych hakerów. AI wykonuje czarną robotę szybciej i taniej
• audyt bezpieczeństwa przestaje być corocznym, kosztownym przedsięwzięciem. Staje się procesem ciągłym, który dzieje się w tle, przy minimalnym koszcie. 

Zagłada? Prędzej urealnienie

Czy to oznacza, że specjaliści od security pójdą na bruk? Nie, ale ich zarobki i rola w końcu zostaną urealnione. Skończy się era tzw. bezpiecznika, który tylko wskazuje palcem problemy i żąda podwyżki. Rynek wymusi zmianę struktury pracy. Najlepsi nadal będą potrzebni do strategicznego myślenia i zarządzania ryzykiem, ale średnie wynagrodzenie w security spadnie, bo narzędzia AI przejmą 80% powtarzalnej pracy. To bolesne dla portfeli specjalistów, ale zbawienne dla całej reszty świata. 

Kto może otwierać szampana?

Największym wygranym tej korekty nie są firmy od AI, ale użytkownicy końcowi i mniejszy biznes. Dotychczas mała firma software'owa często rezygnowała z głębokich testów bezpieczeństwa, bo po prostu nie było jej na nie stać. Wybierała ryzyko zamiast bankructwa przez faktury od firm audytorskich. Dzięki nowym modelom AI:

• to, co było dobrem luksusowym dla korporacji z listy Fortune 500, staje się standardem dla startupu z trzema pracownikami,
• systemy będą lepsze, bo tańsze i szerzej dostępne audyty oznaczają po prostu mniej dziurawego softu w naszych telefonach i na komputerach,
• skończy się monopol na władzę, bo wiedza o tym, jak zabezpieczyć system, przestaje być pilnie strzeżoną tajemnicą grupy ekspertów. 

Drugie spojrzenie

A teraz czas spojrzeć na sprawę ostrożniej. Bo choć powyższa wizja jest nieuniknionym kierunkiem ewolucji rynku, warto zajrzeć za kulisy projektu Anthropic, gdyż tam sytuacja robi się nieco bardziej skomplikowana. Okazuje się, że droga do taniego bezpieczeństwa jest na razie bardzo kręta.

1. Projekt Glasswing

Choć chcielibyśmy, aby Mythos był dostępny dla każdego startupu, Anthropic na razie zamknął go w tzw. Projekcie Glasswing. Dostęp mają tylko najwięksi: Amazon, Apple, CrowdStrike, Google, Microsoft czy Fundacja Linuxa. Co prawda model na ten moment trafił jedynie do wybranych partnerów, takich jak firmy bezpieczeństwa czy największe korporacje technologiczne, ale to raczej kwestia czasu, aż podobne narzędzia staną się szerzej dostępne. Historia AI pokazuje, że technologie początkowo zarezerwowane dla największych graczy bardzo szybko trafiają do masowego użycia — zarówno w wersjach komercyjnych, jak i open source. Zamiast uderzyć w elity, Mythos na start stał się narzędziem, które te elity jeszcze bardziej wzmacnia. Pytanie brzmi: kiedy ta technologia faktycznie trafi niżej, do zwykłych deweloperów?

2. Sport dla bogaczy (póki co)

Znalezienie wspomnianej luki w OpenBSD kosztowało niecałe 20 000 dolarów w tokenach. Z perspektywy korporacji to grosze, ale dla mniejszego gracza to wciąż wysoki próg wejścia. Mythos jest obecnie najdroższym modelem na rynku. Bańka zaczyna więc pękać, ale na razie rykoszetem dostają przede wszystkim dotychczasowi liderzy giełdowi, podczas gdy Anthropic próbuje zająć ich miejsce jako nowy, wysokocenny dostawca. 

3. Model, który potrafi oszukiwać

Najciekawsze są raporty o charakterze modelu. Mythos w fazie testów potrafił być sprytny do przesady; gdy kazano mu znaleźć błąd, a on go nie widział, potrafił sam po cichu dodać lukę do kodu, żeby chwilę później dumnie ją zaraportować i zgarnąć nagrodę. To pokazuje, że mimo potęgi AI, ludzki ekspert wciąż będzie musiał odgrywać rolę sędziego, który sprawdzi, czy model faktycznie nas chroni, czy tylko nas ogrywa. 

4. Błąd popełniany przy treningach

Specjaliści martwią się, że Mythos był trenowany na własnych wynikach pośrednich (Chain of Thought). To techniczny błąd, który może sprawić, że model nauczy się nie tyle lepiej rozwiązywać problemy, co lepiej kłamać tak, abyśmy mu wierzyli. To sprawia, że ubezpieczenie bezpieczeństwa przez AI wcale nie będzie tak proste, jak kliknięcie przycisku "skanuj".

Podsumowanie

Claude Mythos to bez wątpienia poważne uderzenie w rynek cyberbezpieczeństwa. Sam fakt, że AI potrafi za 20 tysięcy dolarów zrobić to, co ludzie omijali przez 27 lat, może zmienić obraz rynku na zawsze. Jednak na ten moment technologia ta jest wciąż reglamentowana, droga i nieco nieprzewidywalna. 

Rynek przyszedł po swoje i urealnienie cen jest pewne, ale zanim bezpieczeństwo stanie się towarem powszechnym dla każdego startupu, czeka nas faza, w której AI będzie bronią wybraną najbogatszych. Dopiero gdy Mythos (lub jego otwartoźródłowi konkurenci) trafią pod strzechy, realne korzyści odczuje wtedy cały rynek, a nie tylko najwięksi gracze z Doliny Krzemowej.