Inisiatif untuk mengamankan perangkat lunak dunia | Project Glasswing

Bahasa IndonesiaالعربيةDeutschEnglishEspañolFrançaisहिन्दी日本語한국어PortuguêsРусский中文
AAnthropic
컴퓨터/소프트웨어경제 뉴스AI/미래기술

Transcript

00:00:00>> Kebanyakan orang yang menggunakan perangkat lunak setiap hari tidak memikirkan tentang bug.
00:00:04Mereka tidak memikirkan apa yang bisa terjadi jika perangkat lunak yang mereka andalkan tiba-tiba menjadi kurang aman.
00:00:12Itu adalah sesuatu yang harus dihadapi oleh pengembang perangkat lunak setiap hari.
00:00:16[MUSIK]
00:00:19>> Jadi perangkat lunak selalu memiliki kelemahan dan kerentanan, itu bukan hal baru.
00:00:23>> Bagi rata-rata orang, bug pada umumnya bukanlah sesuatu yang mereka sadari setiap hari
00:00:30karena jika mereka menyadarinya, bug tersebut akan diperbaiki.
00:00:32>> Namun sesekali, ada kerentanan yang memiliki dampak sangat parah.
00:00:36>> Seperti satu bug tunggal yang menyusup ke dalam perangkat lunak bersama yang digunakan oleh banyak sekali produk atau situs web.
00:00:45Sehingga satu masalah saja dampaknya membesar ke seluruh dunia.
00:00:49>> Jadi secara historis, menemukan dan menambal kerentanan telah menjadi proses yang lambat, memakan waktu, dan mahal.
00:00:55>> Jika LLM sekarang mampu menulis kode setingkat beberapa pengembang perangkat lunak terbaik di dunia,
00:01:04ia juga dapat digunakan untuk menemukan bug dan mengeksploitasi perangkat lunak tersebut dengan sama efektifnya.
00:01:10>> Model-model ini memiliki kemampuan yang meningkatkan standar dari sudut pandang keamanan siber
00:01:16dengan kemampuan mereka untuk membantu pihak bertahan, sekaligus berpotensi membantu pihak penyerang.
00:01:23>> Baru-hui ini kami mengembangkan model baru, Claude Mythos Preview.
00:01:27Sejak awal, jelas bagi kami bahwa model ini akan jauh lebih baik dalam kemampuan keamanan siber.
00:01:33>> Ada semacam percepatan eksponensial, namun di sepanjang eksponensial itu, ada titik-titik signifikansi.
00:01:40Claude Mythos Preview adalah lompatan yang sangat besar di sepanjang titik tersebut.
00:01:45>> Kami tidak melatihnya secara khusus untuk menjadi ahli di bidang siber.
00:01:48Kami melatihnya untuk ahli dalam kode, tetapi sebagai efek samping dari keahlian kode tersebut, ia juga ahli dalam siber.
00:01:54>> Model yang sedang kami uji coba ini, pada dasarnya, sama baiknya dengan manusia profesional dalam mengidentifikasi bug.
00:02:03Ini bagus bagi kami karena kami dapat menemukan lebih banyak kerentanan lebih awal dan kami dapat memperbaikinya.
00:02:07>> Ia memiliki kemampuan untuk merantai kerentanan secara bersamaan.
00:02:10Artinya, Anda menemukan dua kerentanan, yang masing-masing tidak memberikan hasil banyak secara independen,
00:02:16tetapi model ini mampu menciptakan eksploitasi dari tiga, empat, terkadang lima kerentanan
00:02:21yang secara berurutan memberikan hasil akhir yang sangat canggih.
00:02:24>> Dan kami pikir model ini dapat melakukannya dengan sangat baik karena kami menyadari bahwa model ini sangat otonom.
00:02:30Ia secara umum lebih baik dalam mengejar tugas-tugas jangka panjang yang serupa dengan tugas
00:02:37yang dilakukan oleh peneliti keamanan manusia sepanjang hari.
00:02:42Tentu saja, kemampuan dalam model seperti ini dapat merugikan jika berada di tangan yang salah.
00:02:46Oleh karena itu, kami tidak akan merilis model ini secara luas.
00:02:49>> Model yang lebih kuat akan datang dari kami dan dari pihak lain.
00:02:53Jadi, kita memang memerlukan rencana untuk merespons hal ini.
00:02:56>> Itulah sebabnya kami meluncurkan apa yang kami sebut Project Glasswing, di mana kami bermitra dengan sejumlah organisasi
00:03:02yang menggerakkan beberapa kode paling kritis di dunia untuk menyerahkan model ini ke tangan mereka
00:03:06agar mereka dapat melihat bagaimana mereka bisa menggunakan model seperti ini untuk menurunkan risiko dan melindungi semua orang.
00:03:12>> Dan dengan memberikan alat canggih ini kepada para pengembang perangkat lunak sebelum orang lain, ini memberi kita semua keunggulan kolektif.
00:03:22>> Ini memungkinkan kita menemukan hal-hal yang tidak bisa kita temukan sebelumnya, dan membantu kita memperbaikinya jauh lebih cepat.
00:03:30>> Bekerja sama dengan mitra kami, kami telah menemukan kerentanan di hampir setiap platform utama.
00:03:36>> Saya menemukan lebih banyak bug dalam beberapa minggu terakhir daripada yang saya temukan di sepanjang sisa hidup saya.
00:03:41Kami telah menggunakan model ini untuk memindai banyak kode sumber terbuka.
00:03:44Dan hal yang kami tuju pertama kali adalah sistem operasi,
00:03:48karena ini adalah kode yang mendasari seluruh infrastruktur Internet.
00:03:52Untuk OpenBSD, kami menemukan bug yang telah ada selama 27 tahun,
00:03:58di mana saya bisa mengirimkan beberapa potong data ke server OpenBSD mana pun dan membuatnya lumpuh.
00:04:05Di Linux, kami menemukan sejumlah kerentanan di mana, sebagai pengguna tanpa izin,
00:04:11saya dapat menaikkan status saya menjadi administrator hanya dengan menjalankan beberapa biner di mesin saya.
00:04:16Untuk setiap bug ini, kami memberi tahu para pemelihara yang menjalankan perangkat lunak tersebut,
00:04:20dan mereka segera memperbaikinya serta telah menerapkan tambalannya sehingga siapa pun yang menjalankan perangkat lunak ini tidak lagi rentan terhadap serangan tersebut.
00:04:27>> Bagi pengembang yang tanpa lelah memelihara perangkat lunak,
00:04:30model yang dapat membantu mereka menemukan kerentanan dalam kode mereka sendiri dan memperbaikinya sebelum dieksploitasi,
00:04:38adalah alat yang sangat berharga.
00:04:40>> Kami telah berbicara dengan pejabat di seluruh pemerintahan AS,
00:04:43dan kami menawarkan untuk bekerja sama serta berkolaborasi untuk menilai risiko dari model-model ini dan membantu mempertahankan diri dari risiko tersebut.
00:04:50Segala sesuatu yang kita lakukan dalam hidup kita sekarang bergantung pada perangkat lunak.
00:04:55>> Perangkat lunak seolah-olah telah menguasai dunia.
00:04:56Setiap aspek analog dari kehidupan kita entah bagaimana terwakili dalam domain digital.
00:05:01>> Jadi seluruh kehidupan sehari-hari kita berjalan berdasarkan gagasan bahwa kita dapat mengandalkan sistem yang menggerakkannya.
00:05:08>> Keamanan siber adalah keamanan masyarakat kita.
00:05:11>> Sangat penting bagi kita untuk bersatu dan bekerja sama di seluruh industri untuk membantu membangun kemampuan pertahanan yang lebih baik.
00:05:19>> Tidak ada satu pun organisasi yang melihat gambaran utuhnya dan dapat menangani ini sendirian.
00:05:22>> Ini tidak akan selesai sebagai bagian dari program beberapa minggu saja.
00:05:26Ini akan menjadi pekerjaan selama berbulan-bulan, bahkan mungkin bertahun-tahun.
00:05:29Namun yang saya harapkan adalah pada akhirnya, kita bisa berada dalam posisi di mana perangkat lunak dunia, data pelanggan,
00:05:38transaksi keuangan, dan infrastruktur kritisnya menjadi lebih aman daripada sebelumnya.

Key Takeaway

Project Glasswing menggunakan model Claude Mythos Preview yang otonom untuk mendeteksi kerentanan kritis seperti bug OpenBSD berusia 27 tahun guna memperkuat pertahanan infrastruktur digital global sebelum model serupa jatuh ke tangan penyerang.

Highlights

Claude Mythos Preview mengidentifikasi bug pada OpenBSD yang telah ada selama 27 tahun hanya dengan mengirimkan beberapa fragmen data ke server.

Model AI ini mampu merangkai tiga hingga lima kerentanan kecil menjadi satu eksploitasi kompleks yang sangat canggih.

Project Glasswing memberikan akses model AI keamanan kepada organisasi infrastruktur kritis sebelum dirilis secara luas untuk memitigasi risiko serangan.

Eksperimen pada sistem operasi Linux menunjukkan bahwa pengguna tanpa izin dapat menaikkan status menjadi administrator dengan menjalankan biner tertentu.

Penggunaan model AI otonom dalam beberapa minggu menghasilkan temuan bug lebih banyak dibandingkan total temuan manual selama bertahun-tahun.

Pemelihara OpenBSD dan Linux segera menerapkan tambalan setelah menerima laporan kerentanan dari tim Project Glasswing.

Timeline

Risiko Eskalasi Kerentanan Perangkat Lunak

  • Satu bug tunggal dalam kode sumber terbuka dapat melumpuhkan jutaan produk dan situs web di seluruh dunia.
  • Proses tradisional untuk menemukan dan menambal kerentanan bersifat lambat serta berbiaya mahal.

Perangkat lunak modern memiliki ketergantungan yang tinggi pada kode bersama, sehingga satu masalah kecil berdampak sistemik secara global. Kelemahan ini seringkali tidak disadari oleh pengguna umum hingga terjadi kegagalan keamanan yang parah. Efisiensi dalam identifikasi bug menjadi faktor penentu dalam menjaga stabilitas infrastruktur internet.

Kemampuan Keamanan Siber Claude Mythos Preview

  • Claude Mythos Preview memiliki kemampuan analisis keamanan siber setingkat profesional manusia meski tidak dilatih khusus untuk bidang tersebut.
  • Model ini mampu bekerja secara otonom untuk mengejar tugas-tugas penelitian keamanan jangka panjang.
  • Kemampuan merangkai beberapa kerentanan independen memungkinkan pembuatan eksploitasi beruntun yang sangat rumit.

Keahlian dalam pemrograman secara otomatis memberikan model ini pemahaman mendalam tentang logika keamanan. AI ini melampaui kemampuan deteksi sederhana dengan menghubungkan lima titik kerentanan yang tampak tidak berbahaya jika berdiri sendiri. Sifat otonomnya memungkinkan pemindaian kode dilakukan secara berkelanjutan tanpa intervensi manusia yang konstan.

Inisiatif Project Glasswing dan Temuan Kritis

  • Project Glasswing membatasi akses model hanya kepada organisasi pengelola kode kritis dunia untuk menciptakan keunggulan kolektif.
  • Pemindaian pada OpenBSD mengungkap bug crash server yang tersembunyi selama 27 tahun.
  • Kerentanan eskalasi hak istimewa administrator ditemukan pada biner sistem operasi Linux.

Strategi rilis terbatas ini bertujuan untuk memperbaiki lubang keamanan sebelum pihak penyerang menggunakan model serupa. Fokus utama pemindaian diarahkan pada sistem operasi karena posisinya sebagai fondasi internet. Semua temuan telah dilaporkan kepada pemelihara dan tambalan keamanan telah disebarkan kepada pengguna di seluruh dunia.

Kolaborasi Industri untuk Keamanan Masyarakat

  • Pemerintah Amerika Serikat dilibatkan dalam penilaian risiko dan strategi pertahanan terhadap model AI yang semakin kuat.
  • Keamanan siber kini menjadi fondasi utama bagi keamanan transaksi keuangan dan infrastruktur fisik masyarakat.
  • Pekerjaan pengamanan ini merupakan proyek jangka panjang yang akan berlangsung selama berbulan-bulan hingga bertahun-tahun.

Transisi kehidupan analog ke domain digital membuat ketergantungan pada perangkat lunak menjadi mutlak. Tidak ada satu organisasi pun yang mampu menangani ancaman siber secara mandiri, sehingga kolaborasi lintas industri menjadi keharusan. Tujuan akhirnya adalah menciptakan ekosistem digital yang lebih aman bagi data pelanggan dan infrastruktur kritis global.

Community Posts

View all posts

Cara Menghubungkan LLM API ke Pemindaian Kerentanan Open Source untuk Memangkas Waktu Tinjauan Keamanan

makedream15일 전6700
Write about this video