AI najde víc zranitelností než dřív. Jsme připraveni je opravovat?

Model tak chytrý, že nesmí ven

Vždy platilo, že v rámci bezpečnosti softwaru bylo nejtěžší jeho zranitelnosti a bugy vůbec objevit. Project Glasswing ale ukazuje, že to přestává platit. Anthropic uvádí, že model Claude Mythos Preview během několika týdnů identifikoval tisíce zero-day zranitelností napříč kritickou infrastrukturou a že je mimořádně silný v hledání i zneužívání složitých chyb v operačních systémech a webových prohlížečích.

Zároveň proto Anthropic model neuvolnil veřejně a nasadil ho nejprve v omezeném režimu s partnery, kteří klíčový software provozují nebo spravují. To je zásadní posun. Pokud AI výrazně zrychlí samotné hledání chyb, hlavní úzké hrdlo se přesune jinam. Ne na detekci, ale na vyhodnocení nálezů, prioritizaci, testování oprav a jejich bezpečné nasazení do provozu.

Nové úzké hrdlo = opravy

Tento závěr podporuje i analýza společnosti Forrester. Jedna z nejsilnějších myšlenek je, že se týmy, které udržují open-source software, mohou stát novým úzkým hrdlem celého ekosystému. Glasswing totiž podle něj odkryl i velmi staré zranitelnosti v projektech, které často spravují malé nebo dobrovolnické týmy. Forrester to shrnuje velmi přesně: „Mythos mění objevování zranitelností na exponenciální problém. Kapacita open-source světa na jejich opravu je však omezená.“

Důležité je to i pro společnosti, které samy nic nevyvíjejí. Jejich infrastruktura i aplikace dnes stojí na množství open-source komponent, jejichž údržba není samozřejmostí. Bezpečnost tedy nebude o tom, kdo chybu najde. Záležet bude na tom, kdo ji dokáže bezpečně opravit, otestovat a dostat do provozu bez zbytečných vedlejších dopadů. Forrester v návaznosti na Glasswing zároveň upozorňuje, že po této změně se hodnotnější částí bezpečnostních služeb stane interpretace nálezů, prioritizace a nasměrování k nápravě, nikoli samotný proces odhalení chyb.

Dopad se přesune i do governance

Forrester navíc neupozorňuje jen na vývojáře a maintainery, ale i na širší dopady do governance. Pokud bude AI schopná nacházet relevantní chyby ve velkém měřítku, poroste tlak na to, aby firmy měly lepší přehled o svých aktivech, závislostech, verzích a odpovědnostech. Hodnota nebude v tom, kdo rychleji „vygeneruje seznam problémů“, ale kdo je dokáže zasadit do kontextu konkrétního prostředí a proměnit v bezpečně řízenou změnu.

Z pohledu firem to znamená jediné: nestačí jen sledovat nové hrozby. Bude potřeba mít také jasně nastavený patch management, testovací prostředí, rozhodovací pravomoci a recovery scénáře pro případy, kdy oprava nepůjde nasadit okamžitě. V době, kdy se zkracuje čas mezi objevením chyby a jejím možným zneužitím, roste význam provozní disciplíny. A právě ta může být v příštích letech důležitější než samotný počet bezpečnostních nástrojů. To je závěr, který logicky vyplývá z toho, co popisují Anthropic i Forrester.

Berme to s rezervou

Část expertů upozorňuje na fakt, že kolem modelu vzniká silná marketingová vlna spojená s chystaným IPO Anthropicu (vstupem na burzu) a že některá závažnější tvrzení zatím nemají nezávislé potvrzení. Velkou část chyb také šlo identifikovat pomocí méně schopných a levnějších modelů. Důležitý je i kontext chyb, jak dodává Red Hat: rozhoduje míra expozice dané služby, výchozí nastavení systému a ochranné mechanismy, které už v prostředí běží.

Přesto však nelze Mythos brát na lehkou váhu. I kdyby se část tvrzení ukázala jako nadsazená, samotný směr je zřejmý: AI výrazně zrychluje hledání zranitelností a tím zvyšuje tlak na týmy, které je musí vyhodnotit, prioritizovat a opravit. Pro firmy proto nebude klíčové jen to, jaké bezpečnostní nástroje používají, ale zda mají dostatečný přehled o svém prostředí, jasné odpovědnosti a procesy, které jim umožní reagovat včas. Právě v tom se bude lámat skutečná odolnost organizací.