Lo scorso 7 aprile Anthropic ha annunciato il lancio del suo nuovo Large Language Model (Llm), Claude Mythos Preview, che secondo l’azienda rappresenta un importante passo avanti nelle capacità di sicurezza informatica, . Il motivo? Non avrebbe eguali nella sua capacità di individuare e sfruttare le vulnerabilità del software.
Affermazioni di questo tenore suonano – almeno per alcuni analisti – un po’ troppo ottimistiche, ma è indubbio che gli Llm stiano gradualmente diventando sempre più efficaci nel rilevamento e nello sfruttamento delle falle IT. Si tratta quindi di un fattore che avrà, presto o tardi, comunque importanti implicazioni per tutte le organizzazioni di business, inclusi gli operatori di telecomunicazioni.
Indice degli argomenti
I pro e i contro di un modello come Claude Mythos Preview
Secondo gli esperti di Analysys Mason, in particolare, Claude Mythos Preview rappresenterà probabilmente un lieve miglioramento, piuttosto che un cambiamento radicale, nelle capacità di sicurezza informatica degli Llm.
Anthropic afferma di essere stata in grado di utilizzare l’Llm per identificare migliaia di vulnerabilità zero-day nel software analizzato. Temendo le implicazioni derivanti dall’utilizzo di questo Llm da parte di malintenzionati, l’azienda non lo ha reso disponibile al pubblico, ma ha invece creato Project Glasswing in collaborazione con colossi come Aws, Broadcom, Google e JpMorgan Chase.
Project Glasswing offre ai suoi partner l’accesso a Claude Mythos Preview nella speranza che possano utilizzarlo per individuare e correggere le vulnerabilità nei loro software prima che malintenzionati abbiano la possibilità di sfruttarle.
Analysis Mason sottolinea che sia attori leali che malintenzionati utilizzano già da tempo le capacità di sicurezza informatica dei modelli di apprendimento basati su Llm. I test condotti dall’AI Security Institute (Aisi) del Regno Unito hanno rilevato che Claude Mythos Preview si è classificato al primo posto, o comunque tra i migliori, in termini di capacità di sicurezza rispetto ad altri Llm.
Tuttavia, pur avendo ottenuto un punteggio elevato, il miglioramento delle capacità rispetto ad altri modelli esistenti non è stato particolarmente significativo. Al contrario, le capacità di Claude Mythos Preview sembrano seguire all’incirca il tasso storico di miglioramento delle capacità di sicurezza degli Llm di frontiera. Inoltre, altri ricercatori hanno scoperto che altri Llm, inclusi modelli molto più piccoli, sono in grado di identificare le vulnerabilità del software scoperte da Anthropic (almeno quelle di cui ha reso pubblici i dettagli).
Detto questo, la direzione generale pare chiara: i modelli di logica di sicurezza (Llm) stanno diventando sempre più efficaci nel rilevare e sfruttare le vulnerabilità.
Le implicazioni per gli attori del comparto Tlc
In questo scenario, secondo Analysis Mason gli operatori telco dovrebbero in ogni caso cogliere tutte le opportunità per utilizzare gli Llm, incluso Claude Mythos Preview, che consentono di verificare la presenza di vulnerabilità di sicurezza; tuttavia, ciò richiederà un processo articolato. L’utilizzo degli Llm per verificare la presenza di vulnerabilità in software, sistemi e reti richiede più che semplicemente puntare un Llm verso un repository software.
I test di Anthropic su Claude Mythos Preview hanno previsto l’avvio in parallelo di più agenti che avevano accesso al codice sorgente e al progetto in esecuzione in un container. Ogni agente ha analizzato il codice e sperimentato con il progetto durante l’esecuzione, dando priorità alle indagini sui file di codice che il modello riteneva avessero maggiori probabilità di presentare una vulnerabilità. Claude Mythos Preview è stato quindi utilizzato per confermare che i bug identificati da ciascun agente fossero reali e di elevata gravità. Per alcuni software, Anthropic ha eseguito circa mille flussi di lavoro agentici nel processo di scansione delle vulnerabilità.
L’utilizzo di Llm per la scansione delle vulnerabilità ad hoc e in modalità manuale può risultare lento e inefficace. Gli operatori trarranno vantaggio dall’implementazione di strumenti e flussi di lavoro che indirizzino la scansione delle vulnerabilità verso un’esecuzione efficace (per esempio, creando agenti che analizzano diverse parti del codice) e che automatizzino il processo end-to-end. Ad esempio, gli strumenti dovrebbero automatizzare l’avvio di container che eseguono il programma da testare, orchestrare più agenti di intelligenza artificiale che eseguono test mirati e utilizzare un Llm per convalidare e consolidare gli output di ciascun agente.
Aumentare il coinvolgimento del team e la frequenza delle rilevazioni
Nel contesto delle telecomunicazioni, queste attività dovranno coinvolgere principalmente i fornitori e i team che si occupano internamente di gran parte dello sviluppo software. Gli Llm possono anche essere utilizzati per garantire la sicurezza del software open source acquisito dalle organizzazioni; questo approccio non può essere utilizzato per il software proprietario acquistato dai fornitori, poiché dipende dall’accesso al codice sorgente.
In futuro, gli operatori potrebbero essere in grado di utilizzare gli Llm per rilevare vulnerabilità nelle proprie architetture di configurazione e distribuzione (e potenzialmente nelle proprie Api) che creano e modificano autonomamente. Tuttavia, questo si estende ai limiti estremi dei casi d’uso di sicurezza informatica per gli Llm attualmente in fase di esplorazione. Per Analysys Mason, gli operatori devono prepararsi a un mondo in cui la scoperta di vulnerabilità avviene con molta più frequenza.
Se i sistemi Llm sono effettivamente molto più efficaci degli esperti umani nell’individuare le vulnerabilità di sicurezza, la frequenza con cui verranno scoperte nuove vulnerabilità in futuro supererà i livelli storici. Di conseguenza, aumenterà la frequenza con cui le organizzazioni dovranno integrare patch di sicurezza dai propri team di sviluppo interni, dai fornitori e dai progetti open source.
Bilanciare opportunità e minacce
Le migliori capacità di sicurezza informatica dei sistemi Llm aumenteranno la frequenza con cui sia gli attori leciti che quelli illeciti potranno identificare le vulnerabilità di sicurezza, il che rappresenta sia un’opportunità che una minaccia per gli operatori Tlc. Se non è ancora chiaro come ciò modificherà l’equilibrio tra attacco e difesa, è invece evidente che se le organizzazioni non si adatteranno, saranno svantaggiate rispetto agli attori malevoli che utilizzano l’intelligenza artificiale.
Gli operatori dovrebbero iniziare a esplorare l’uso dei Label Lifecycle Management nelle esercitazioni di red teaming, poiché è ancora necessario acquisire molte conoscenze, ad esempio su come applicare al meglio i Llm per proteggere il software per le funzioni di rete rispetto al software Bss/Oss.
Secondo Analysis Mason, chi opera nel settore delle telecomunicazioni dovrebbe cercare di partecipare a iniziative come Project Glasswing – o valutare la possibilità di crearne di proprie – per proteggere la catena di fornitura del software per le telecomunicazioni e garantire lo sviluppo di best practice per la protezione di tale catena di fornitura con i Llm. Gli operatori Tlc hanno infine tutto l’interesse a comprendere se la creazione di Llm specifici per il proprio verticale consentirebbe di ottenere risultati di sicurezza migliori.
