Eine Initiative zur Sicherung der weltweiten Software | Project Glasswing

DeutschالعربيةEnglishEspañolFrançaisहिन्दीBahasa Indonesia日本語한국어PortuguêsРусский中文
AAnthropic
컴퓨터/소프트웨어경제 뉴스AI/미래기술

Transcript

00:00:00>> Die meisten Menschen, die täglich Software benutzen, denken nicht an Bugs.
00:00:04Sie machen sich keine Gedanken darüber, was passieren kann, wenn die Software, auf die sie angewiesen sind, plötzlich weniger sicher ist.
00:00:12Das ist etwas, womit sich Softwareentwickler jeden einzelnen Tag auseinandersetzen müssen.
00:00:16[MUSIK]
00:00:19>> Software hatte schon immer Fehler und Schwachstellen, das ist nicht neu.
00:00:23>> Für einen Durchschnittsmenschen sind Bugs im Großen und Ganzen nichts, was er im Alltag bemerkt,
00:00:30denn wenn doch, werden sie behoben.
00:00:32>> Aber hin und wieder gibt es Schwachstellen, die wirklich schwerwiegende Auswirkungen haben.
00:00:36>> Wie ein einzelner Bug, der seinen Weg in gemeinsam genutzte Software findet, die von vielen, vielen verschiedenen Produkten oder Websites verwendet wird.
00:00:45So wird ein einziges Problem auf der ganzen Welt vergrößert.
00:00:49>> Historisch gesehen war das Finden und Beheben von Schwachstellen ein langsamer, zeitaufwändiger und teurer Prozess.
00:00:55>> Wenn LLMs nun in der Lage sind, Code auf dem Niveau einiger der besten Softwareentwickler der Welt zu schreiben,
00:01:04können sie ebenso effektiv dazu verwendet werden, Bugs zu finden und diese Software auszunutzen.
00:01:10>> Diese Modelle verfügen über Fähigkeiten, die die Messlatte aus Sicht der Cybersicherheit höher legen,
00:01:16da sie sowohl Verteidigern als auch potenziell Angreifern helfen können.
00:01:23>> Wir haben vor kurzem ein neues Modell entwickelt, Claude Mythos Preview.
00:01:27Schon früh war uns klar, dass dieses Modell bei den Cybersicherheitsfunktionen deutlich besser sein würde.
00:01:33>> Es gibt eine Art beschleunigtes Exponential, aber entlang dieses Exponentials gibt es Punkte von besonderer Bedeutung.
00:01:40Claude Mythos Preview ist ein besonders großer Sprung an diesem Punkt.
00:01:45>> Wir haben es nicht speziell darauf trainiert, gut in Cyberthemen zu sein.
00:01:48Wir haben es darauf trainiert, gut im Programmieren zu sein, aber als Nebeneffekt davon ist es auch gut in Cybersicherheit.
00:01:54>> Das Modell, mit dem wir experimentieren, ist im Großen und Ganzen so gut wie ein professioneller Mensch darin, Bugs zu identifizieren.
00:02:03Es ist gut für uns, weil wir mehr Schwachstellen früher finden und sie beheben können.
00:02:07>> Es hat die Fähigkeit, Schwachstellen miteinander zu verketten.
00:02:10Das bedeutet: Man findet zwei Schwachstellen, von denen man allein nicht wirklich viel hat,
00:02:16aber dieses Modell kann Exploits aus drei, vier, manchmal fünf Schwachstellen erstellen,
00:02:21die nacheinander zu einem sehr anspruchsvollen Endergebnis führen.
00:02:24>> Und wir glauben, dass dieses Modell das sehr gut kann, weil wir bemerkt haben, dass es sehr autonom agiert.
00:02:30Es ist generell besser darin, langfristige Aufgaben zu verfolgen, die in etwa den Aufgaben entsprechen,
00:02:37die ein menschlicher Sicherheitsforscher im Laufe eines ganzen Tages erledigen würde.
00:02:42Offensichtlich könnten die Fähigkeiten eines solchen Modells Schaden anrichten, wenn sie in die falschen Hände geraten.
00:02:46Deshalb werden wir dieses Modell nicht allgemein zugänglich machen.
00:02:49>> Leistungsfähigere Modelle werden von uns und von anderen kommen.
00:02:53Und deshalb brauchen wir einen Plan, um darauf zu reagieren.
00:02:56>> Aus diesem Grund starten wir das Project Glasswing, bei dem wir mit einer Reihe von Organisationen zusammenarbeiten,
00:03:02die einen Teil des kritischsten Codes der Welt betreiben, um ihnen das Modell zur Verfügung zu stellen,
00:03:06damit sie untersuchen können, wie sie solche Modelle nutzen können, um Risiken zu senken und alle zu schützen.
00:03:12>> Indem wir diesen Softwareentwicklern fortschrittliche Werkzeuge vor allen anderen geben, verschaffen wir uns allen einen kollektiven Vorsprung.
00:03:22>> Es ermöglicht uns, Dinge zu finden, die wir vorher nicht finden konnten, und hilft uns, diese Dinge viel schneller zu beheben.
00:03:30>> In Zusammenarbeit mit unseren Partnern haben wir Schwachstellen auf so gut wie jeder größeren Plattform gefunden.
00:03:36>> Ich habe in den letzten Wochen mehr Bugs gefunden als im Rest meines Lebens zusammen.
00:03:41Wir haben das Modell verwendet, um eine Menge Open-Source-Code zu scannen.
00:03:44Und das Erste, worauf wir uns konzentriert haben, waren Betriebssysteme,
00:03:48denn das ist der Code, der der gesamten Internet-Infrastruktur zugrunde liegt.
00:03:52Für OpenBSD haben wir einen Bug gefunden, der seit 27 Jahren existiert,
00:03:58bei dem ich ein paar Datenpakete an einen beliebigen OpenBSD-Server senden und ihn zum Absturz bringen kann.
00:04:05Bei Linux haben wir eine Reihe von Schwachstellen gefunden, bei denen ich mich als Benutzer ohne Berechtigungen
00:04:11zum Administrator hochstufen kann, indem ich einfach eine Binärdatei auf meinem Rechner ausführe.
00:04:16Bei jedem dieser Bugs haben wir die Maintainer informiert, die die Software tatsächlich betreiben,
00:04:20und sie haben die Fehler behoben und Patches bereitgestellt, sodass jeder, der diese Software nutzt, nicht mehr anfällig für diese Angriffe ist.
00:04:27>> Für einen Entwickler, der unermüdlich Software pflegt,
00:04:30ist ein Modell, das ihm hilft, Schwachstellen im eigenen Code zu entdecken und zu beheben, bevor sie ausgenutzt werden können,
00:04:38ein unschätzbares Werkzeug.
00:04:40>> Wir haben mit Beamten der US-Regierung gesprochen
00:04:43und ihnen angeboten, zusammenzuarbeiten, um die Risiken dieser Modelle zu bewerten und bei der Abwehr dieser Risiken zu helfen.
00:04:50Alles, was wir heute in unserem Leben tun, hängt von Software ab.
00:04:55>> Software hat gewissermaßen die Welt verschlungen.
00:04:56Jeder analoge Aspekt unseres Lebens ist irgendwie in der digitalen Domäne vertreten.
00:05:01>> Und so basiert unser gesamtes tägliches Leben auf der Vorstellung, dass wir uns auf die Systeme verlassen können, die es antreiben.
00:05:08>> Cybersicherheit ist die Sicherheit unserer Gesellschaft.
00:05:11>> Es ist unerlässlich, dass wir zusammenkommen und branchenübergreifend zusammenarbeiten, um bessere Verteidigungsfähigkeiten aufzubauen.
00:05:19>> Keine Organisation allein überblickt das Gesamtbild und kann dies im Alleingang bewältigen.
00:05:22>> Das wird nicht im Rahmen eines mehrwöchigen Programms erledigt sein.
00:05:26Das wird eine Arbeit von Monaten, vielleicht sogar Jahren sein.
00:05:29Aber ich hoffe, dass wir am Ende dieses Prozesses an einem Punkt stehen, an dem die Software der Welt, ihre Kundendaten, ihre Finanztransaktionen
00:05:38und ihre kritische Infrastruktur sicherer sind als zuvor.

Key Takeaway

Project Glasswing nutzt die autonome Fähigkeit von Claude Mythos Preview zur Verkettung von bis zu fünf Schwachstellen, um kritische Infrastrukturen wie Linux und OpenBSD vor potenziellen KI-gestützten Angreifern zu schützen.

Highlights

Das Modell Claude Mythos Preview erreicht bei der Identifizierung von Sicherheitslücken das Leistungsniveau professioneller menschlicher Experten.

KI-Modelle generieren komplexe Exploits, indem sie drei bis fünf einzeln harmlose Schwachstellen zu einer Angriffskette verbinden.

In der Internet-Infrastruktur von OpenBSD existierte ein Bug über 27 Jahre, der Server durch einfache Datenpakete zum Absturz brachte.

Sicherheitslücken in Linux ermöglichen es unberechtigten Nutzern, durch das Ausführen einer Binärdatei Administratorrechte zu erlangen.

Project Glasswing stellt kritischen Organisationen fortschrittliche KI-Werkzeuge vorab zur Verfügung, um einen Verteidigungsvorsprung zu schaffen.

Ein Sicherheitsforscher fand innerhalb weniger Wochen durch KI-Unterstützung mehr Softwarefehler als in seiner gesamten bisherigen Karriere.

Timeline

Skalierung von Softwarefehlern durch globale Vernetzung

  • Softwareentwickler bearbeiten täglich Sicherheitsrisiken, die für Endnutzer meist unsichtbar bleiben.
  • Ein einzelner Fehler in gemeinsam genutztem Code betrifft gleichzeitig eine Vielzahl von Produkten und Websites weltweit.
  • Die manuelle Suche nach Schwachstellen ist historisch ein langsamer und kostenintensiver Prozess.

Die Abhängigkeit von digitaler Infrastruktur macht kleine Programmierfehler zu globalen Risiken. Wenn Fehler in Bibliotheken auftreten, die von Millionen Systemen genutzt werden, multipliziert sich der Schaden sofort. Bisherige Sicherheitsanalysen erforderten hohen zeitlichen Aufwand durch menschliche Experten.

KI-Modelle als Werkzeuge für Angriff und Verteidigung

  • LLMs schreiben Code auf dem Niveau weltweit führender Entwickler und finden ebenso effektiv Sicherheitslücken.
  • Fortschrittliche Sprachmodelle erhöhen die Anforderungen an die Cybersicherheit für Verteidiger und Angreifer gleichermaßen.
  • Die Fähigkeit zur Identifikation von Exploits ist eine direkte Folge des Trainings auf allgemeine Programmierfertigkeiten.

Modelle, die für das Programmieren optimiert wurden, beherrschen implizit auch die Analyse von Sicherheitsaspekten. Diese technologische Entwicklung zwingt Sicherheitsbehörden dazu, ihre Methoden anzupassen. Die Geschwindigkeit, mit der KI Schwachstellen aufdeckt, verändert das Gleichgewicht zwischen Schutz und Angriff.

Autonome Schwachstellenanalyse durch Claude Mythos Preview

  • Claude Mythos Preview agiert autonom über Zeiträume, die dem Arbeitstag eines menschlichen Sicherheitsforschers entsprechen.
  • Das Modell verknüpft mehrere geringfügige Schwachstellen zu hochkomplexen Angriffsszenarien.
  • Der Zugang zu diesem Modell bleibt aufgrund des Missbrauchspotenzials streng kontrolliert und wird nicht öffentlich freigegeben.

Das Modell zeigt besondere Stärken bei langfristigen Aufgabenstellungen und der logischen Kombination von Fehlern. Ein Exploit kann aus einer Kette von fünf verschiedenen Schwachstellen bestehen, die einzeln betrachtet kaum Schaden anrichten würden. Wegen dieser Fähigkeiten erfolgt die Bereitstellung nur an ausgewählte Partner.

Project Glasswing und die Absicherung der Infrastruktur

  • Project Glasswing bietet Organisationen mit kritischem Code frühzeitigen Zugriff auf KI-Sicherheitsmodelle.
  • Scans von Open-Source-Betriebssystemen führten zur Entdeckung jahrzehntealter Bugs in OpenBSD und Linux.
  • Die unmittelbare Information der Software-Maintainer ermöglicht die Bereitstellung von Patches vor einem möglichen Missbrauch.

Die Initiative zielt darauf ab, den Verteidigern einen technologischen Vorsprung zu verschaffen. Durch den Fokus auf Betriebssysteme wird die Basis des gesamten Internets gestärkt. Konkrete Erfolge zeigen sich in der Behebung eines 27 Jahre alten Fehlers in OpenBSD sowie kritischer Rechteausweitungslücken in Linux.

Branchenübergreifende Zusammenarbeit für gesellschaftliche Sicherheit

  • Cybersicherheit ist die Voraussetzung für das Funktionieren moderner Finanztransaktionen und kritischer Infrastrukturen.
  • Keine Organisation kann die komplexen Sicherheitsfragen der KI-Ära alleine bewältigen.
  • Die Sicherung weltweiter Software ist ein langfristiger Prozess, der über Jahre hinweg Kooperation erfordert.

Die Digitalisierung analoger Lebensbereiche macht Software zur Grundlage der gesellschaftlichen Stabilität. Die Zusammenarbeit mit Regierungen und anderen Unternehmen ist notwendig, um Risiken zu bewerten und kollektive Abwehrmechanismen zu entwickeln. Das Ziel ist eine dauerhafte Erhöhung des Sicherheitsniveaus für globale Nutzerdaten.

Community Posts

View all posts

So reduzieren Sie die Sicherheitsüberprüfungszeit durch die Anbindung von LLM-APIs an Open-Source-Schwachstellenscans

makedream15일 전6700
Write about this video