Talán tudsz róla, mert sok hír volt róla, bár elég unalmasak voltak, tehát könnyen lehet hogy nem... most itt az új "örület" az Anthropic.
Mi az Anthropic? Nos, ez is egy AI-nak mondott cucc ( pontosabban a cég neve ami ilyet gyárt; Claude modellek ), aminek a legérdekesebb tulajdonsága, hogy képes arra, hogy sebezhetőségeket találjon számítástechnikai rendszerekben magától, szóval nem csak arról van szó, hogy lecsekkolja, hogy minden frissítést telepítettél-e, hanem elvileg képes vadiúj sebezhetőség megtalálására magától.
És talán hallottad, hogy pl. az európai bankok versenytfutnak érte, ők és sokan mások rá akarják ereszteni ezt a rendszereikre.
És amúgy elég sok nem éppen tiszta hír kering róla. Úgy mint, hogy az egész szöveg, hogy mekkora hatalmas dolgokra képes csak bullshit marketing, de aztán ott vannak az olyan dolgok, hogy úgy végzi el ezt a sebezhetőség felkutatási dolgot, hogy teljesen feleslegesen kér magának olyan adatokat amik kiadása maguk is hatalmas kockázat. Sőt talán lehet mondani, hogy nem is kockázat, a pár napos hír szerint a sebezhetőséget kutató AI is sebezhető és bizony nagyon könnyen nem védelmi, hanem támadóeszköz lehet ebből. Volt hír arról is, hogy egyszer az EU azért nyavajog tán, hogy használják ilyen nagy kockázatok mellett, de aztán van hír olyanról, hogy azért nyavajog az EU, hogy nem engedik használni a legújabb verzióit, mert annyira "powerful" eszköz, hogy az USA nem engedi, hogy másik országok használják, beleértve az EU országokat is.
"Az Anthropic alig három nappal a Claude Fable 5 és Mythos 5 modellek bemutatása után kénytelen volt globálisan leállítani azok elérhetőségét, miután az amerikai kormány nemzetbiztonsági kockázatokra hivatkozva exportkontroll-direktívát adott ki. A lépés hátterében az áll, hogy az Amazon kutatói egy biztonsági rést fedeztek fel a modellekben, amelyeknek kiemelkedő kiberbiztonsági képességei – például szoftversebezhetőségek önálló felkutatása és kihasználása – támadó célú visszaélésekre is alkalmasak lehetnek. Az Anthropic szerint a korlátozás aránytalan, mivel hasonló képességek más modelleknél is elérhetők, a cég saját mérései azonban azt mutatják, hogy a Mythos 5 több mint kétszer olyan hatékony a sebezhetőségek kihasználásában, mint a konkurens GPT-5.5. Az eset nem csak amerikai belügy, arra is rávilágít, hogy egyetlen washingtoni döntés globálisan megbéníthatja az élvonalbeli AI-modellekre épülő európai vállalatokat is."
https://www.portfolio.hu/global/20260619/minden-korabbinal-veszelyesebb-ai-modell-jelent-meg-az-amerikai-kormany-gyorsan-el-is-zarta-a-vilagtol-844244
Én inkább ott ragadnám meg az egész story-t ami nagyon félrevezető képet adhat már az alapoknál, az egész cucc alapígéreténél.
Az egyik hamis ígéret, hogy ha ráengeded ezt a cuccot a rendszereidre, akkor utánna biztonságosak lesznek.
A másik hamis dolog pedig az, hogy ez az AI cucc képes észrevenni dolgokat amikre egy magasan képzet hacker nem lenne képes, hogy ez meglát dolgokat amiket az ember nem a "régi" módszerekkel.
És visszamegyünk az alapokhoz, úgy értve, hogy megnézzük miért vannak egyáltalán biztonsági rések a számítástechnikai rendszerekben és mit mondott nekem egy infobiztonsági kutató aki a szakma legmagasabb szintjét képviseli...
Kezdjük is az utóbbival. Erről írtam már tán többször a blogomon, de még nagyon valahol az elején. Beszélgettem egy etikus-hacker csapattal. Ők olyan munkákat végeztek mint pl. bankok rendszereit ellenőrizték, hogy biztonságos-e, mint pl. most az Anthropic csinálja.
És ezek az etikus hackerek a hackerség csúcsán voltak. Vannak hackerek akik igazából csak mások által készített programokat használnak. Igaz, az ő tudásuk is messze az átlag ember szintje felett van, de akkor is végsősoron ők mások termékeit használják. Ezek az etikus hackerek viszont a hackerség csúcsát képviselték, ők maguk akik írták a kódokat és ellenőrizték a kódokat, ha kaptak erre felkérést.
Na és a lényeg: Egyszer az egyik elmesélte, hogy hogyan megy az, hogyha például egy bank rendszerét ellenőrzik, és hogy igazából miről szólt az egész.
Szóval ez valahogy úgy nézett ki, hogy mondjuk kaptak egy napot, hogy ellenőrizzék a bank rendszereit. Amikor látták a bank által használt szoftverek kódjait... 6 másodpercenként találtak valamit amit potenciálisan ki lehetne használni támadásra.
Aztán letelt a nap és be kellett fejezni a munkát, pedig még rengeteg kód van amit nem ellenőriztek.
Kijavítottak pár dolgot. Adtak a banknak valami papírt, amit kiírhatnak a honlapjukra, hogy etikus hackerek által ellenőrizve volt. És eszerint az etikus hacker szerint ez volt a lényeg, csak akartak a bankok egy ilyen papírt maguknak. De attól még telistele van a rendszerük sebezhetőségekkel.
És annyi van tán, hogy az AI lehet gyorsabb és a bankokat lesokkolja tán, hogy mennyire támadható a rendszerük igazából. De ez mindig is így volt és a biztonsági kutatók tudták ezt. És most abban a hamis reményben élnek, hogy ezt az AI segítsgével meg lehet szüntetni.
De miért vannak egyáltalán sebezhetőségek és miért nem sikerül 20 év alatt se elérni, hogy egy rendszer ne legyen sebezhető?
Nos... új olvasóként a válasz sokkoló lehet.
De kezdjük azzal: Lehet egyáltalán egy rendszer sebezhetetlen? Hiszed vagy nem, többször felmerült, hogy igen, elméletileg egy teljesen más alapokon nyugvó számítástechnika lehet sebezhetetlen.
Pl.: "Letölthető a világ első tökéletesen hibamentes operációs rendszere"
De időről időre előjöttek ezek a hírek, hogy elvileg, más alapokon, más architektúrát használva lehetséges lennének a sebezhetetlen, vagy sokkal sokkal sokkal kevesebb sebezhetőséggel létező informatikai rendszerek.
Egyszerűen az, hogy nem ilyeneket használunk egy... döntés volt.
És erről az állítólagos döntésről számolt be "Schneier a biztonságról " című könyvében Bruce Schneier, aki nagy név volt az USA infobiztonsági iparában, igazából egyfajta celeb is lett.
Ő állította azt, hogy az USA hatalmasai döntötték ezt el. Az ügyben megkeresték állíólag Bruce Schneier-t is és annó kijelentették nekik állítólag, hogy két út lehet a jövő számítástechnikája előtt és kérik a véleményüket, hogy melyik létezzen: Az egyik út, hogy a számítástechnikai rendszerek feltörhetetlenek lesznek, de akkor viszont lenni kell bennük egy eltávolíthatatlan kémeszköznek, ami kémked az államnak. A másik választás, hogy nincs beépített kémprogram, viszont cserébe az alapoknak olyannak kell lennie, hogy bármit is csináljunk vele, mindig sebezhető maradjon. És Bruce Schneier azt mondta, hogy ő és a többi szakember is azt javasolta, hogy akkor inkább legyen az a jövő, hogy a rendszerek legyenek mindig sebezhetők, de ne legyen alapból beépített kémprogramm hozzájuk.
A Clipper-chip ügye:
Az amerikai kormány (az NSA titkosszolgálat) be akart vezetni egy kötelező titkosító csipet a telefonokba és számítógépekbe. Ez a csip tökéletesen védte volna a felhasználókat a bűnözők ellen, DE lett volna benne egy beépített kulcs (hátsó kapu) az állam számára. Bruce Schneier és a többi szakértő ezt hangosan elutasította, mert bebizonyították, hogy ha egy rendszerben van egy hátsó kapu a "jófiúknak", azt előbb-utóbb a "rosszfiúk" (bűnözők, külföldi kémek) is meg fogják találni.
A mai számítógépek sebezhetőségének gyökere a múltban hozott döntésekben rejlik. Ha a Harvard-architektúra választottuk volna, sok mai biztonsági probléma nem létezne, sőt bizonyos feladatokat jóval gyorsabban elvégezne egy ilyen rendszer.
De visszatérve a lényegre: 1.az Anthropic azért talál több sebezetőséget, mert valószínű gyorsabb, de az emberek is találnak bőven és tudnának még sokkal többet találni, ha rászánják az időt.
2. Az Anthropic nem csodaeszköz ami megtalálja az összes sebezhetőséget és lezárja mindet. A jelenlegi informatikai rendszerek mindig sebezetőek maradnak, mert az alapjai olyanok, hogy azok legyenek.