Lühikokkuvõte
- Kuna võimekad TI mudelid suudavad kiiresti ja massiliselt leida uusi turvanõrkusi, siis nüüd muutub üha suuremaks väljakutseks leidude kontrollimine ja parandamine. Organisatsioonid peavad kohanema, et vigu kiiremini ja usaldusväärselt parandada.
- Kitsaskohaks jääb inimeste võimekus leide hinnata, kontrollida ja parandada.
- Kontseptsiooni tõenduste (proof of concept, PoC) kõrval kasvab tähelepanu ka sellele, kas ja kuidas saab üksikuid turvanõrkusi siduda tegelikeks ründeahelateks.
- Ettevõtte Palo Alto asjatundjad on hinnanud, et organisatsioonidel võib olla kõigest kolm kuni viis kuud aega, et ründajatest ette jõuda enne, kui TI-põhiste eksploitide loomine muutub tavapärasemaks.
- Turbelahendustes on vajalik mitme mudeli lähenemine, sest mudelite võimekus varieerub ning üks mudel ei pruugi olla kõigi ülesannete jaoks parim.
- Tippmudelid võivad aidata arendajatel luua turvalisemat tarkvara, tuvastades vead enne juurutamist. Samas on üleminekuperiood riskantne, sest haavatavusi leitakse kiiresti, kuid nende kontrollimine, parandamine ja kasutajateni jõudmine võtab endiselt aega.
Mis on Claude Mythos Preview?
Anthropic avaldas Project Glasswingi esimese vahekokkuvõtte. Ettevõtte sõnul on Claude Mythos Preview koostöös ca 50 partneriga leidnud üle 10 000 suure või kriitilise mõjuga turvanõrkuse. Samuti on Mythos leidnud hinnanguliselt üle 6000 suure või kriitilise mõjuga vea avatud lähtekoodiga projektides, millest 28,2% (1752) on käsitsi kontrollitud väliste koostööpartnerite poolt. Neist 90,6% (1587) on paikapidavad (true positive) leiud ning nendest 62,4% on leidnud kinnitust kui suure või kriitilise mõjuga turvanõrkused. Keskmiselt võtab sellise mõjuga Mythose leitud vea parandamine aega kaks nädalat.
Kuigi väidetavalt on leitud tuhandeid turvanõrkuseid, on paranduste arv kolmel põhjusel endiselt suhteliselt madal. Tarkvaratööstuse tava on avalikustada uued haavatavused 90 päeva pärast nende avastamist, seetõttu lisandub lähiajal eeldatavalt oluliselt rohkem parandusi. Turvapaikade tegelik arv võib olla suurem, kui välja näidatakse, sest osa haavatavusi parandatakse ilma avaliku teavituseta. Kübertiimid on niigi ülekoormatud ja lisanduvad haavatavused aina suurendavad seda, mis peegeldab kitsaskohta inimvõimete näol, et vigu valideerida ja paigata. Oluline on ka see, et Anthropic avaldab osade valideeritud leidude kohta tõendusräsisid (1611, millest 27 on parandatud). See annab võimaluse näidata leiu olemasolu enne täielikku avalikustamist. Avaldatud on ka 14 CVE-d ja 12 GitHub Security Advisory kirjet. Kontrollitud tulemusi ja parandusi hakatakse järk-järgult avalikustama.
Anthropicu teatel on Cloudflare leidnud 2000 turvaviga, millest 400 on suure või kriitilise tasemega, sealjuures oli ettevõtte hinnangul valepositiivsete määr madalam kui inimtestijatel. Cloudflare kirjeldab oma postituses, kuidas nad on seni Claude Mythost kasutanud. Ettevõtte hinnangul suudavad mitmed mudelid vigu leida, kuid Mythos suudab üksikud vead omavahel ahelaks siduda, mis võib muutuda tõsisemaks riskiks. Samuti suudab mudel koostada kontseptsiooni tõendusi. Neid tuleb siiski eristada ründevalmis eksploitidest. Kontseptsiooni tõendus näitab, et viga on põhimõtteliselt ärakasutatav, kuid see ei pruugi veel tähendada täielikult toimivat ründetööriista. Ettevõte rõhutab siiski, et mudelil on sisemised piirangud ning see ei lahenda kogu haavatavuste halduse probleemi. TI ajastul on vigade triaažimine muutunud üha keerulisemaks, sest tuleb eristada need vead, mis vajavad kiiret tähelepanu. Samas oli Cloudflare’i hinnangul Mythose väljundis vähem müra.
Palo Alto Networks kirjeldab maikuu ülevaates sarnast muutust. Ettevõtte viimatises turvauuenduses pärines enamik leide TI tippmudelite (Mythos, Claude Opus 4.7, GPT-5.5-Cyber) abil tehtud koodianalüüsist. Ettevõte avaldas 26 turvanõrkust (CVE-d), tavapäraselt jääb igakuiste turvavigade arv alla viie. Siiski rõhutatakse, et TI kasutamine haavatavuste otsimisel on pikem protsess, sest mudelid vajavad konteksti ja eraldi töövooge. Samuti on mudelite võimekuste erinevuste tõttu tarvilik kasutada mitut mudelit. Ettevõte hoiatab, et organisatsioonidel võib olla kolm kuni viis kuud aega, et ründajatest ette jõuda enne, kui TI-põhine eksploitide loomine muutub tavapärasemaks.
Mudelite võimekust on endiselt keeruline hinnata, sest sobivad mõõdikud ja võrdlusraamistikud alles kujunevad. Seetõttu arendatakse koostöös ülikoolide ning Anthropicu, OpenAI ja Google’i teaduritega uusi hindamisraamistikke, näiteks ExploitBench, ExploitGym ja MATS. Nende eesmärk on paremini mõõta, kui hästi suudavad mudelid haavatavusi mõista, tõendada ja ründeahelateks siduda.
Soovitused
- Ole valmis turvanõrkuste mahu kasvuks. Tippmudelid võivad kaasa tuua palju rohkem leide, kui senised tööriistad. Oluliseks muutub kriitiliste vigade taustamürast eristamine.
- Kaardista ründepind. Ründepinna kaardistamine on vajalik paranduste prioritiseerimiseks ja tarkvarasõltuvuste väljaselgitamiseks.
- Vähenda vea ärakasutamise võimalust juba enne selle parandamist. Oluline on rakendada kihilist kaitset, mis on üles ehitatud nii, et ründaja ei pääse haavatavustele kohe ligi.
- Parandamistsüklid peavad muutuma lühemaks. Kriitiliste paranduste testimine ja paigaldamine peab muutuma kiiremaks.
- Parandamisse kaasa mitu tiimi. Vigade parandamine ei tohiks sõltuda ainult ühest turvatiimist või konkreetse tooteomaniku tööjärjekorrast.
- Optimeeri haavatavuste halduse protsessi. Eesmärk ei ole ainult rohkem vigu leida, vaid turvapaiku rakendada.
- Keskendu ühtse agendilise töövoo ehitamisele, mitte üksikute tööriistade rakendamisele. Tõhusam on agendiline töövoog, kus erinevad mudelid ja agendid täidavad kitsaid ülesandeid, kontrollivad üksteise tulemusi ning on vajadusel asendatavad või täiendatavad.
- TI toega koodianalüüsi puhul tuleks leiud inimese poolt valideerida. Leitud turvanõrkuste puhul tuleks hinnata vea ärakasutatavust ning mõju.
Peamised allikad:
Loomise kuupäev: 01.06.2026
