STRUČNJACI za sigurnost otkrili su novi način za zaobilaženje napredne Appleove sigurnosne tehnologije, koristeći se tehnikama do kojih su došli u travnju tijekom testiranja rane verzije softvera umjetne inteligencije Mythos koju je tvrtka Anthropic, čiji Mythos jest, nazvala opasnim.

Istraživači iz tvrtke Calif, specijalizirane za sigurnosna istraživanja sa sjedištem u Palo Altu, objavili su kako su razvili softver koji kombinira dva sigurnosna propusta. Njime su uspjeli oštetiti memoriju Mac računala i pristupiti dijelovima sustava koji bi trebali biti zaštićeni, piše WSJ.

Riječ je o takozvanom napadu za eskalaciju privilegija, koji bi hakerima, u kombinaciji s drugim metodama, mogao omogućiti potpunu kontrolu nad uređajem.

Ova je tehnika osobito značajna s obzirom na goleme napore koje je Apple uložio u zaštitu svog operativnog sustava MacOS, pojasnio je Michał Zalewski, sigurnosni istraživač koji je ranije radio u Googleu. Zalewski je pregledao istraživanje tvrtke Calif, ali nije sudjelovao u testiranju.

Iz Applea, koji i sam koristi napredne AI modele za testiranje i ispravljanje ranjivosti, poručili su da provjeravaju navode iz izvješća tvrtke Calif. "Sigurnost nam je glavni prioritet i vrlo ozbiljno shvaćamo izvješća o potencijalnim ranjivostima", izjavila je glasnogovornica tvrtke.

Umjetna inteligencija i lov na bugove

Sposobnost najnovijih modela umjetne inteligencije, poput onih iz tvrtki Anthropic i OpenAI, da pronalaze softverske greške toliko je napredovala posljednjih mjeseci da mnogi stručnjaci za kibernetičku sigurnost upozoravaju na takozvani "Bugmageddon".

Riječ je o strahu od neviđenog vala otkrića sigurnosnih propusta koji bi mogao stvoriti velike probleme tehnološkim tvrtkama koje ih moraju ispravljati, ali i predstavljati dosad nezabilježen rizik za kibernetičku sigurnost.

Apple je prošlog rujna predstavio tehnologiju nazvanu Memory Integrity Enforcement (MIE), koju je opisao kao "vrhunac dizajnerskog i inženjerskog napora bez presedana, na kojem se radilo pola desetljeća". Tvrtka je tada istaknula da je u razvoj uložila svu svoju stručnost u području hardvera i operativnih sustava.

Pet dana za probijanje zaštite

Stručnjacima iz Califa je, uz pomoć AI modela Claude, trebalo pet dana da napišu kod koji iskorištava dva propusta u MacOS-u. Međutim, izvršni direktor tvrtke Thai Duong naglašava da napad ne bi bio moguć bez ljudske stručnosti i iskustva hakera iz njegove tvrtke. Objasnio je da se Mythos ističe u reproduciranju već dokumentiranih napada. "Nismo primijetili da samostalno osmišljava nove tehnike napada", rekao je Duong. "Ovo je ipak nešto novo."

Zalewski smatra da je dio medijske pompe oko Mythosa "preuveličan", ali dodaje kako je ipak moguće koristiti najnovije alate za "smisleno istraživanje ranjivosti i reviziju koda."

Koliko su bili uzbuđeni svojim otkrićem, pokazuje i činjenica da su se istraživači u utorak osobno odvezli iz Palo Alta u Appleovo sjedište u Cupertinu kako bi predali izvješće na 55 stranica u kojem detaljno opisuju iskorištene propuste. Najavili su da će tehničke detalje napada objaviti javnosti nakon što Apple ispravi probleme, a Duong očekuje da će se to dogoditi prilično brzo.

Utjecaj na politiku i industriju

Tvrtka Anthropic postupno je proširila pristup Mythosu, nakon što ga je u početku ograničila na odabranu skupinu tvrtki i organizacija. Demonstracija snage ovakvih alata viđena je i ranije ove godine, kada je Anthropicov AI u samo dva tjedna pronašao više od 100 ozbiljnih ranjivosti u pregledniku Firefox. Usporedbe radi, ostatak svijeta za takav broj otkrića u prosjeku treba dva mjeseca.

Zabrinutost zbog ovog fenomena potaknula je i Bijelu kuću na promjenu strategije prema umjetnoj inteligenciji i preispitivanje dosadašnjeg liberalnog pristupa njezinom razvoju. Američka administracija sada razmatra donošenje izvršne uredbe kojom bi vlada dobila veći nadzor nad najnaprednijim AI modelima.