00:00:00>> Большинство людей, пользующихся софтом каждый день, не думают о багах.
00:00:04Они не задумываются о том, что может произойти, если ПО, от которого они зависят, внезапно станет менее защищенным.
00:00:12Это то, с чем разработчикам программного обеспечения приходится сталкиваться каждый божий день.
00:00:16[МУЗЫКА]
00:00:19>> В программах всегда были изъяны и уязвимости, в этом нет ничего нового.
00:00:23>> Обычный человек, по большому счету, не замечает ошибки в повседневной жизни,
00:00:30потому что если они появляются, их исправляют.
00:00:32>> Но время от времени возникают уязвимости, которые имеют действительно серьезные последствия.
00:00:36>> Например, один-единственный баг, который проникает в общее ПО, используемое множеством различных продуктов или сайтов.
00:00:45В итоге одна проблема масштабируется на весь мир.
00:00:49>> Исторически сложилось так, что поиск и исправление уязвимостей были медленным, трудоемким и дорогостоящим процессом.
00:00:55>> Если LLM теперь способны писать код на уровне лучших разработчиков в мире,
00:01:04их также можно использовать для поиска багов и эксплуатации этого ПО с такой же эффективностью.
00:01:10>> Эти модели обладают возможностями, которые поднимают планку с точки зрения кибербезопасности,
00:01:16благодаря их способности помогать как защитникам, так и, потенциально, злоумышленникам.
00:01:23>> Недавно мы разработали новую модель — Claude Mythos Preview.
00:01:27С самого начала нам было ясно, что эта модель будет значительно лучше в плане кибербезопасности.
00:01:33>> Существует своего рода ускоряющаяся экспонента, и на этом пути есть значимые точки.
00:01:40Claude Mythos Preview — это особенно большой скачок в этом направлении.
00:01:45>> Мы не обучали её специально для киберсферы.
00:01:48Мы учили её хорошо писать код, но как побочный эффект этого она стала хороша и в кибербезопасности.
00:01:54>> Модель, с которой мы экспериментируем, в целом справляется с выявлением багов не хуже профессионала.
00:02:03Для нас это хорошо, потому что мы можем находить больше уязвимостей раньше и исправлять их.
00:02:07>> Она способна выстраивать цепочки уязвимостей.
00:02:10Это значит, что если найти две уязвимости, каждая из которых сама по себе мало что дает,
00:02:16эта модель может создать эксплойты из трех, четырех, а иногда и пяти уязвимостей,
00:02:21которые в последовательности приводят к какому-то очень сложному конечному результату.
00:02:24>> Мы считаем, что эта модель отлично справляется, потому что заметили её высокую автономность.
00:02:30Она в целом лучше справляется с действительно долгосрочными задачами, подобными тем,
00:02:37которые специалист по кибербезопасности выполнял бы в течение целого дня.
00:02:42Очевидно, что возможности такой модели могут нанести вред, если попадут не в те руки.
00:02:46Поэтому мы не будем выпускать эту модель в широкий доступ.
00:02:49>> Будут появляться более мощные модели, как от нас, так и от других компаний.
00:02:53И поэтому нам нужен план реагирования на это.
00:02:56>> Вот почему мы запускаем то, что называем Project Glasswing — партнерство с рядом организаций,
00:03:02которые поддерживают самый критически важный код в мире, чтобы передать модель в их руки
00:03:06и позволить им изучить, как использовать такие модели для снижения рисков и защиты всех нас.
00:03:12>> Предоставляя разработчикам передовые инструменты раньше других, мы даем всем нам коллективное преимущество.
00:03:22>> Это позволяет нам находить то, что мы не могли найти раньше, и помогает исправлять это гораздо быстрее.
00:03:30>> Работая с нашими партнерами, мы обнаружили уязвимости практически на всех основных платформах.
00:03:36>> За последние пару недель я нашел больше багов, чем за всю свою жизнь до этого.
00:03:41Мы использовали модель для сканирования большого количества открытого исходного кода.
00:03:44И первым делом мы взялись за операционные системы,
00:03:48потому что это код, на котором держится вся инфраструктура интернета.
00:03:52В OpenBSD мы нашли баг, который присутствовал там 27 лет:
00:03:58я могу отправить пару фрагментов данных на любой сервер OpenBSD и обрушить его.
00:04:05В Linux мы нашли ряд уязвимостей, где пользователь без прав
00:04:11может повысить свои привилегии до администратора, просто запустив файл на своей машине.
00:04:16О каждом таком баге мы сообщали мейнтейнерам, которые управляют этим ПО,
00:04:20и они исправили их и выпустили патчи, так что пользователи больше не уязвимы для этих атак.
00:04:27>> Для разработчика, который неустанно поддерживает ПО,
00:04:30модель, помогающая обнаруживать уязвимости в собственном коде и исправлять их до эксплуатации,
00:04:38это бесценный инструмент.
00:04:40>> Мы общались с официальными лицами из правительства США
00:04:43и предложили им сотрудничество для оценки рисков этих моделей и помощи в защите от них.
00:04:50Все в нашей жизни теперь зависит от программного обеспечения.
00:04:55>> ПО буквально «съело мир».
00:04:56Любой аналоговый аспект нашей жизни так или иначе представлен в цифровой среде.
00:05:01>> И поэтому вся наша повседневная жизнь строится на идее, что мы можем доверять системам, которые её обеспечивают.
00:05:08>> Кибербезопасность — это безопасность нашего общества.
00:05:11>> Крайне важно, чтобы мы объединились и работали сообща во всей индустрии для создания лучших защитных возможностей.
00:05:19>> Ни одна организация не видит всей картины целиком и не может справиться с этим в одиночку.
00:05:22>> Это не будет сделано в рамках какой-то многонедельной программы.
00:05:26Это будет работа на многие месяцы, а возможно, и годы.
00:05:29>> Но я надеюсь, что в итоге мировое ПО, данные клиентов, финансовые транзакции
00:05:38и критически важная инфраструктура станут безопаснее, чем были раньше.