Project Glasswing: Kolaborasi global untuk keamanan perangkat lunak inti di era AI

 (anthropic.com)
7 poin oleh GN⁺ 12 hari lalu | Belum ada komentar. | Bagikan ke WhatsApp
  • Project Glasswing, inisiatif kolaboratif yang diikuti perusahaan teknologi besar seperti Amazon, Apple, Google, dan Microsoft, memanfaatkan AI untuk mendeteksi dan mempertahankan dari kerentanan keamanan pada perangkat lunak inti di seluruh dunia
  • Model Claude Mythos 2 Preview dari Anthropic berperan sentral, dan telah menemukan ribuan kerentanan berkategori sangat kritis pada sistem operasi dan browser utama
  • Mythos Preview mampu melakukan deteksi otonom dan pembuatan exploit tanpa campur tangan manusia, serta menemukan cacat yang tersembunyi selama puluhan tahun di OpenBSD, FFmpeg, kernel Linux, dan lainnya
  • Anthropic menyediakan kredit model senilai 100 juta dolar dan donasi 4 juta dolar untuk organisasi keamanan open source bagi proyek ini, sementara para mitra akan memanfaatkannya untuk deteksi kerentanan, pengujian keamanan, dan evaluasi penetrasi
  • Glasswing bertujuan menetapkan standar dan pedoman praktik keamanan siber di era AI, serta dalam jangka panjang membangun kerangka keamanan berkelanjutan berbasis kolaborasi publik-swasta

Gambaran umum Project Glasswing

  • Project Glasswing adalah proyek kolaborasi keamanan siber global yang melibatkan Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, dan Palo Alto Networks
  • Proyek ini bertujuan memanfaatkan AI berbasis model Claude Mythos 2 Preview dari Anthropic untuk mendeteksi dan mempertahankan dari kerentanan keamanan pada perangkat lunak inti di seluruh dunia
  • Mythos Preview telah menemukan ribuan kerentanan berkategori sangat kritis pada sistem operasi utama dan browser web, menunjukkan tingkat performa yang melampaui sebagian besar pakar manusia
  • Untuk proyek ini, Anthropic menyediakan kredit penggunaan model hingga senilai 100 juta dolar dan donasi 4 juta dolar untuk organisasi keamanan open source
  • Proyek ini diposisikan sebagai titik awal kolaborasi jangka panjang untuk menetapkan standar dan pedoman praktik keamanan siber di era AI

Lanskap keamanan siber di era AI

  • Perangkat lunak infrastruktur inti di sektor keuangan, kesehatan, energi, transportasi, dan pemerintahan selalu mengandung bug dan cacat keamanan
  • Perkembangan model AI membuat biaya dan tingkat keahlian yang dibutuhkan untuk mendeteksi maupun mengeksploitasi kerentanan turun drastis
  • Claude Mythos Preview menemukan cacat keamanan lama yang tidak terdeteksi selama puluhan tahun, bahkan setelah peninjauan manusia dan pengujian otomatis
  • Jika kemampuan AI ini disalahgunakan, frekuensi dan daya rusak serangan siber dapat meningkat tajam dan berkembang menjadi ancaman terhadap keamanan nasional
  • Di saat yang sama, teknologi yang sama juga dapat menjadi alat revolusioner di sisi pertahanan, sehingga penguatan keamanan berbasis AI menjadi hal yang esensial

Hasil deteksi kerentanan Claude Mythos Preview

  • Dalam beberapa minggu terakhir, Mythos Preview menemukan ribuan kerentanan zero-day di semua sistem operasi utama dan browser web
  • Model ini secara otonom tanpa campur tangan manusia mendeteksi kerentanan dan mengembangkan exploit
  • Contoh temuan utama
    • OpenBSD: menemukan kerentanan yang telah ada selama 27 tahun, berupa cacat yang dapat menyebabkan sistem jarak jauh down
    • FFmpeg: menemukan kerentanan yang telah ada selama 16 tahun, masalah yang tidak terdeteksi bahkan setelah 5 juta kali pengujian otomatis
    • Kernel Linux: mengonfirmasi kemungkinan serangan eskalasi hak akses melalui pemanfaatan berantai beberapa kerentanan
  • Semua kerentanan telah dilaporkan kepada maintainer proyek terkait dan patch telah selesai diterapkan
  • Pada benchmark CyberGym, Mythos Preview mencatat 83,1%, sedangkan model sebelumnya Opus 4.6 mencatat 66,6%

Partisipasi dan penilaian para mitra

  • Cisco: menekankan bahwa AI telah secara mendasar mengubah urgensi perlindungan infrastruktur keamanan, dan bahwa pendekatan penguatan keamanan yang lama saja tidak lagi cukup
  • AWS: menganalisis 400 triliun aliran jaringan setiap hari dan sedang memperkuat keamanan berbasis kode dengan memanfaatkan Claude Mythos Preview
  • Microsoft: menyatakan bahwa Mythos Preview menunjukkan peningkatan besar dibanding model sebelumnya pada benchmark CTI-REALM, dan tengah mendorong perluasan keamanan berbasis AI
  • CrowdStrike: menekankan bahwa dengan AI, jarak waktu antara penemuan kerentanan dan serangan telah menyusut menjadi hitungan menit, sehingga kapabilitas pertahanan AI perlu segera dideploy
  • Komunitas open source: melalui Glasswing, bahkan maintainer open source yang kekurangan tim keamanan akan mendapat alat deteksi kerentanan berbasis AI
  • JPMorganChase: menekankan pentingnya respons bersama lintas industri untuk memperkuat ketahanan siber sistem keuangan
  • Google: menyediakan Mythos Preview melalui Vertex AI dan terus mengembangkan alat keamanan berbasis AI (Big Sleep, CodeMender)

Kinerja teknis Claude Mythos Preview

  • Mythos Preview jauh melampaui model-model Anthropic sebelumnya dalam kemampuan coding dan penalaran
  • Hasil benchmark utama
    • Pada SWE-bench Verified/Pro/Multilingual, mencatat peningkatan lebih dari 20~30% dibanding Opus 4.6
    • Mencapai 92,1% pada Terminal-Bench 2.0 (Opus 4.6: 77,8%)
    • Tanpa penggunaan alat: 56,8% vs 40,0%, dengan penggunaan alat: 64,7% vs 53,1%
    • Pada Humanity’s Last Exam: 86,9% vs 83,7%
    • Pada BrowseComp, mencatat skor lebih tinggi dengan penggunaan token 4,9 kali lebih sedikit
  • Anthropic menyatakan tidak ada rencana distribusi publik untuk Mythos Preview, dan ke depannya akan mendorong penyebaran bertahap melalui model Claude Opus dengan pengaman keamanan yang diperkuat

Rencana ke depan Project Glasswing

  • Para mitra akan memanfaatkan Claude Mythos Preview untuk deteksi kerentanan pada sistem inti, pengujian black-box biner, keamanan endpoint, dan pengujian penetrasi
  • Anthropic menyediakan kredit penggunaan model senilai 100 juta dolar, dan setelah itu layanan akan tersedia dengan tarif 25 dolar per 1 juta token input dan 125 dolar per 1 juta token output

  • Dukungan untuk organisasi keamanan open source

    • Alpha-Omega dan OpenSSF di bawah Linux Foundation menerima 2,5 juta dolar
    • Apache Software Foundation menerima donasi 1,5 juta dolar
    • Maintainer open source dapat mengaksesnya melalui program Claude for Open Source
    • Dalam 90 hari, proyek ini akan mempublikasikan laporan perbaikan kerentanan dan peningkatan, serta bersama-sama mengembangkan pedoman praktik keamanan di era AI
    • Prosedur pengungkapan kerentanan
    • Proses pembaruan perangkat lunak
    • Keamanan open source dan rantai pasok
    • Siklus hidup pengembangan yang berfokus pada keamanan
    • Standar industri yang diatur regulator
    • Sistem klasifikasi kerentanan dan patch otomatis
    • Anthropic sedang berkonsultasi dengan pemerintah Amerika Serikat dan akan mendukung penilaian serta mitigasi dampak terhadap keamanan nasional dari kapabilitas siber berbasis AI
    • Dalam jangka panjang, proyek ini menargetkan struktur di mana lembaga pihak ketiga yang independen berbasis kolaborasi publik-swasta dapat secara berkelanjutan mengelola proyek keamanan siber berskala besar

Bacaan terkait

Belum ada komentar.

Belum ada komentar.