خبر بد برای تیم‌های امنیتی: محققان نشون دادن که هوش مصنوعی (AI) خیلی سریعتر از اون چیزی که فکر می‌کنیم داره آسیب‌پذیری‌ها رو پیدا و ازشون سوء استفاده می‌کنه. یه مدل جدید به اسم Claude Mythos تونسته هزاران آسیب‌پذیری zero-day رو به صورت خودکار در سیستم‌عامل‌های اصلی و مرورگرها کشف کنه. قبلاً فکر می‌کردیم یه حاشیه امن داریم چون هوش مصنوعی فقط می‌تونست از آسیب‌پذیری‌های شناخته شده سوء استفاده کنه، نه اینکه خودش اونها رو پیدا کنه. اما حالا دیگه اینطور نیست!

این یعنی زمان سوء استفاده از آسیب‌پذیری‌ها داره به شدت کاهش پیدا می‌کنه. به عنوان مثال، یه آسیب‌پذیری توی Langflow فقط ۲۰ ساعت بعد از انتشار جزئیاتش مورد سوء استفاده قرار گرفت، در حالی که هیچ مدرک اثبات مفهوم (proof-of-concept) عمومی‌ای هم وجود نداشت. یه آسیب‌پذیری دیگه توی Marimo هم توی کمتر از ۱۰ ساعت مورد حمله قرار گرفت. زیرساخت‌های دفاعی که اکثر سازمان‌ها بهشون تکیه کردن، برای مقابله با این سرعت طراحی نشدن. این یعنی باید یه فکر اساسی کرد!

باید رویکردتون رو نسبت به اولویت‌بندی وصله‌های امنیتی تغییر بدید. دیگه نمیشه فقط به امتیاز CVSS تکیه کرد. باید از یه فیلتر سه‌لایه استفاده کنید که وضعیت آسیب‌پذیری در CISA KEV، امتیاز EPSS و امتیاز CVSS رو در نظر بگیره. همچنین، باید بررسی کنید که سیاست‌های authorization شما چقدر در برابر رفتارهای هوش مصنوعی مقاوم هستن. از همه مهم‌تر، باید یه نقشه از وابستگی‌های credential برای هر ابزار هوش مصنوعی ایجاد کنید تا در صورت بروز حادثه، بدونید که دقیقاً چه credentialهایی به خطر افتادن.

تحلیل و بررسی: سرعت بالای کشف و سوء استفاده از آسیب‌پذیری‌ها توسط هوش مصنوعی، زنگ خطری جدی برای امنیت سایبری سازمان‌هاست. این موضوع نشون میده که رویکردهای سنتی دیگه کافی نیستن و نیاز به بازنگری اساسی داریم. پیش‌بینی می‌شود که در آینده، استفاده از ابزارهای مبتنی بر هوش مصنوعی برای دفاع سایبری و شناسایی زودهنگام تهدیدات، اهمیت بیشتری پیدا خواهد کرد.

منبع: VentureBeat (مشاهده متن اصلی)