- 27,637
- 46
- 8 Ноя 2022
Нейросети научились находить неуловимые баги, и ИТ-гиганты создают секретный альянс.
Chainguard представила Athena , отраслевую коалицию для защиты открытого ПО от атак, в которых злоумышленники используют ИИ для поиска уязвимостей. Компания предупреждает, что передовые модели уже умеют находить новые цепочки ошибок нулевого дня с машинной скоростью, а старая система ответственного раскрытия не успевает за темпом современных атак.
Разрыв между обнаружением уязвимости и реальной эксплуатацией сократился с лет до часов. Всё чаще эксплойты готовят ещё до публичного раскрытия ошибки. При этом критически важные библиотеки, на которых держатся приложения, облачные сервисы и корпоративная инфраструктура, часто поддерживают один или два добровольца, уже перегруженные потоком слабых отчётов от автоматических сканеров.
Chainguard приводит пример критической ошибки в коде для обработки медиафайлов, который используют многие приложения. Уязвимость пережила годы экспертных проверок, а автоматические фаззеры запускали тесты более пяти млн раз и всё равно не нашли проблему. По мнению компании, появление ИИ-инструментов для поиска ошибок меняет скорость работы защитников и атакующих.
Без общей координации рынок рискует уйти в фрагментацию: облачные провайдеры, поставщики ПО и ИБ-команды начнут отдельно форкать одни и те же критические библиотеки, выпускать собственные наборы патчей и расходиться в понимании, какие версии действительно исправлены. Chainguard считает такой путь медленным, слабым и опасным для всей экосистемы.
Athena должна объединить поиск, проверку, исправление и защиту в одном процессе. Участники коалиции передают проверенные данные о найденных ошибках через зашифрованный портал, а отправители сохраняют контроль над раскрытием: каждая организация сама решает, какие сведения передавать, кому показывать детали и какой срок эмбарго установить.
Система сопоставляет отчёты, убирает дубли, уточняет, когда уязвимость попала в код, проверяет наличие исправления в основной ветке проекта и ищет похожие паттерны в других частях библиотеки. Метаданные планируется публиковать в формате OSV, а участники получат анонимизированную и агрегированную аналитику по находкам всей коалиции.
Athena принимает данные от разных передовых моделей, включая Anthropic Project Glasswing и OpenAI Daybreak. После проверки уязвимые проекты будут пересобирать в частные усиленные версии до публичного раскрытия. Участники коалиции получат доступ к исправленным сборкам через Chainguard Libraries.
Исправления должны закрывать не только конкретную ошибку, которую первой нашла ИИ-модель. Athena будет искать похожие проблемы во всей библиотеке и устранять целые классы уязвимостей, чтобы более мощная модель не нашла соседнюю ошибку в том же участке кода. На протяжении эмбарго система продолжит сверять находки с upstream и обновлять защиту, если разработчики проекта изменят код или независимо выпустят патч.
Отдельный слой защиты ляжет на облачные платформы, сетевых провайдеров, шлюзы безопасности и поставщиков ИБ-решений. Партнёры смогут заранее готовить правила обнаружения, блокировки на уровне трафика, виртуальные патчи и другие меры, пока обычное исправление ещё не вышло или не дошло до пользователей.
Chainguard подчёркивает, что патч помогает только тем, кто успевает его поставить. Одни и те же библиотеки работают внутри крупных технологических компаний, небольших больниц, муниципальных служб и предприятий с минимальной ИТ-командой. Многие организации не смогут обновиться за несколько часов, поэтому часть атак должна блокироваться на сетевом и платформенном уровне без ручных действий со стороны конечных пользователей.
В Athena уже участвуют более двух десятков организаций, среди которых Chainguard, Cisco, Cloudflare, Docker, BNY, Kyndryl, PwC и другие компании. Одни участники передают проверенные находки, другие закрывают атаки на уровне инфраструктуры, поставщики ИБ-решений добавляют сигнатуры и виртуальные патчи, а профессиональные сервисные компании помогают довести исправления до клиентских сред до публичного раскрытия.
Коалиция уже обработала более 20 000 находок, подготовила более 2 000 патчей и затронула более 500 проектов с открытым исходным кодом. Первая волна скоординированных раскрытий должна начаться через месяц.
Глава и сооснователь Chainguard Дэн Лоренк заявил, что время до эксплуатации уязвимости фактически стало отрицательным: атаки появляются раньше публичного раскрытия ошибки. По его словам, Athena должна сделать исправления такими же ранними, чтобы патчи и защитные меры работали до того, как сведения об уязвимости станут общедоступными.
Chainguard также рассчитывает работать с Linux Foundation над координированной группой реагирования на инциденты в открытом ПО и программой сопровождающего последней инстанции. Такой механизм нужен для случаев, когда проект больше не справляется с исправлениями, а уязвимая библиотека продолжает работать в реальной инфраструктуре.
Chainguard представила Athena , отраслевую коалицию для защиты открытого ПО от атак, в которых злоумышленники используют ИИ для поиска уязвимостей. Компания предупреждает, что передовые модели уже умеют находить новые цепочки ошибок нулевого дня с машинной скоростью, а старая система ответственного раскрытия не успевает за темпом современных атак.
Разрыв между обнаружением уязвимости и реальной эксплуатацией сократился с лет до часов. Всё чаще эксплойты готовят ещё до публичного раскрытия ошибки. При этом критически важные библиотеки, на которых держатся приложения, облачные сервисы и корпоративная инфраструктура, часто поддерживают один или два добровольца, уже перегруженные потоком слабых отчётов от автоматических сканеров.
Chainguard приводит пример критической ошибки в коде для обработки медиафайлов, который используют многие приложения. Уязвимость пережила годы экспертных проверок, а автоматические фаззеры запускали тесты более пяти млн раз и всё равно не нашли проблему. По мнению компании, появление ИИ-инструментов для поиска ошибок меняет скорость работы защитников и атакующих.
Без общей координации рынок рискует уйти в фрагментацию: облачные провайдеры, поставщики ПО и ИБ-команды начнут отдельно форкать одни и те же критические библиотеки, выпускать собственные наборы патчей и расходиться в понимании, какие версии действительно исправлены. Chainguard считает такой путь медленным, слабым и опасным для всей экосистемы.
Athena должна объединить поиск, проверку, исправление и защиту в одном процессе. Участники коалиции передают проверенные данные о найденных ошибках через зашифрованный портал, а отправители сохраняют контроль над раскрытием: каждая организация сама решает, какие сведения передавать, кому показывать детали и какой срок эмбарго установить.
Система сопоставляет отчёты, убирает дубли, уточняет, когда уязвимость попала в код, проверяет наличие исправления в основной ветке проекта и ищет похожие паттерны в других частях библиотеки. Метаданные планируется публиковать в формате OSV, а участники получат анонимизированную и агрегированную аналитику по находкам всей коалиции.
Athena принимает данные от разных передовых моделей, включая Anthropic Project Glasswing и OpenAI Daybreak. После проверки уязвимые проекты будут пересобирать в частные усиленные версии до публичного раскрытия. Участники коалиции получат доступ к исправленным сборкам через Chainguard Libraries.
Исправления должны закрывать не только конкретную ошибку, которую первой нашла ИИ-модель. Athena будет искать похожие проблемы во всей библиотеке и устранять целые классы уязвимостей, чтобы более мощная модель не нашла соседнюю ошибку в том же участке кода. На протяжении эмбарго система продолжит сверять находки с upstream и обновлять защиту, если разработчики проекта изменят код или независимо выпустят патч.
Отдельный слой защиты ляжет на облачные платформы, сетевых провайдеров, шлюзы безопасности и поставщиков ИБ-решений. Партнёры смогут заранее готовить правила обнаружения, блокировки на уровне трафика, виртуальные патчи и другие меры, пока обычное исправление ещё не вышло или не дошло до пользователей.
Chainguard подчёркивает, что патч помогает только тем, кто успевает его поставить. Одни и те же библиотеки работают внутри крупных технологических компаний, небольших больниц, муниципальных служб и предприятий с минимальной ИТ-командой. Многие организации не смогут обновиться за несколько часов, поэтому часть атак должна блокироваться на сетевом и платформенном уровне без ручных действий со стороны конечных пользователей.
В Athena уже участвуют более двух десятков организаций, среди которых Chainguard, Cisco, Cloudflare, Docker, BNY, Kyndryl, PwC и другие компании. Одни участники передают проверенные находки, другие закрывают атаки на уровне инфраструктуры, поставщики ИБ-решений добавляют сигнатуры и виртуальные патчи, а профессиональные сервисные компании помогают довести исправления до клиентских сред до публичного раскрытия.
Коалиция уже обработала более 20 000 находок, подготовила более 2 000 патчей и затронула более 500 проектов с открытым исходным кодом. Первая волна скоординированных раскрытий должна начаться через месяц.
Глава и сооснователь Chainguard Дэн Лоренк заявил, что время до эксплуатации уязвимости фактически стало отрицательным: атаки появляются раньше публичного раскрытия ошибки. По его словам, Athena должна сделать исправления такими же ранними, чтобы патчи и защитные меры работали до того, как сведения об уязвимости станут общедоступными.
Chainguard также рассчитывает работать с Linux Foundation над координированной группой реагирования на инциденты в открытом ПО и программой сопровождающего последней инстанции. Такой механизм нужен для случаев, когда проект больше не справляется с исправлениями, а уязвимая библиотека продолжает работать в реальной инфраструктуре.
- Источник новости
- www.securitylab.ru
