L'AI ridefinisce il perimetro di difesa

La scoperta automatizzata di vulnerabilità tramite l'intelligenza artificiale sta ridefinendo le dinamiche dei costi di sicurezza aziendale, invertendo una tendenza storica che favoriva gli attaccanti. Tradizionalmente, l'obiettivo principale era rendere gli attacchi così onerosi da scoraggiarne l'uso indiscriminato, limitandoli a chi disponeva di budget quasi illimitati. Oggi, tuttavia, l'introduzione di LLM avanzati sta spostando l'equilibrio.

Un esempio significativo di questa trasformazione emerge dalla recente valutazione condotta dal team di ingegneri di Firefox di Mozilla. Utilizzando Claude Mythos Preview di Anthropic, il team ha identificato e corretto ben 271 vulnerabilità per la versione 150 del browser. Questo successo segue una precedente collaborazione con Anthropic, che aveva visto l'impiego di Opus 4.6 e aveva portato a 22 correzioni di sicurezza critiche nella versione 148. Questi risultati dimostrano un cambiamento radicale nella capacità di rilevamento delle minacce.

Sfide e opportunità nel deployment di LLM per la sicurezza

L'integrazione di modelli di AI all'avanguardia nelle pipeline di continuous integration esistenti introduce significative considerazioni sui costi di calcolo. L'elaborazione di milioni di token di codice proprietario attraverso un modello come Claude Mythos Preview richiede un notevole investimento in capitale (CapEx). Le aziende devono inoltre implementare ambienti di database vettoriali sicuri per gestire le finestre di contesto necessarie per basi di codice estese, garantendo che la logica aziendale proprietaria rimanga strettamente partizionata e protetta. Questo aspetto è cruciale per le organizzazioni che valutano deployment self-hosted, dove il controllo sull'infrastruttura e sui dati è prioritario.

Un'altra sfida fondamentale è la mitigazione rigorosa delle allucinazioni. Un modello che genera false positività in termini di vulnerabilità di sicurezza spreca preziose ore di ingegneria umana. Pertanto, la pipeline di deployment deve effettuare un controllo incrociato degli output del modello con gli strumenti di analisi statica e i risultati del fuzzing esistenti per convalidare i risultati. Sebbene il fuzzing sia altamente efficace, presenta limitazioni in alcune parti del codebase. I ricercatori di sicurezza più esperti superano queste limitazioni analizzando manualmente il codice sorgente per identificare difetti logici, un processo dispendioso in termini di tempo e vincolato dalla rarità di tale expertise umana.

L'integrazione di modelli avanzati come Mythos Preview elimina questo vincolo umano. I computer, fino a pochi mesi fa incapaci di svolgere questo compito, ora eccellono nel ragionamento sul codice. Mythos Preview ha dimostrato una parità con i migliori ricercatori di sicurezza al mondo; il team di ingegneri ha infatti notato di non aver trovato alcuna categoria o complessità di difetto che gli umani possano identificare e che il modello non sia in grado di rilevare. Questo offre un metodo altamente efficace per mettere in sicurezza codebase legacy, come quelli in C++, senza incorrere nelle spese proibitive di una revisione completa del sistema, un fattore chiave per il TCO aziendale.

Implicazioni strategiche e sovranità dei dati

L'ampio divario tra ciò che le macchine possono scoprire e ciò che gli umani possono identificare ha tradizionalmente favorito gli attaccanti, che potevano concentrare mesi di costosi sforzi umani per individuare un singolo exploit. Ridurre questo "discovery gap" rende l'identificazione delle vulnerabilità più economica, erodendo il vantaggio a lungo termine dell'attaccante. Sebbene l'ondata iniziale di difetti identificati possa sembrare allarmante nel breve termine, rappresenta un'ottima notizia per la difesa aziendale.

In un clima normativo sempre più stringente, l'investimento nella prevenzione di violazioni di dati o attacchi ransomware si ripaga facilmente. L'analisi automatizzata riduce anche i costi operativi, poiché il sistema verifica continuamente il codice rispetto a database di minacce noti, consentendo alle aziende di ridurre l'assunzione di costosi consulenti esterni. Per le organizzazioni che valutano deployment on-premise, la capacità di mantenere il controllo sui dati e sui modelli all'interno della propria infrastruttura è fondamentale per la sovranità dei dati e la conformità normativa. Se i modelli possono identificare in modo affidabile i difetti logici in un codebase, la mancata adozione di tali strumenti potrebbe presto essere considerata negligenza aziendale.

Verso un futuro con un vantaggio difensivo

È importante sottolineare che non vi è alcuna indicazione che questi sistemi stiano inventando categorie di attacchi completamente nuove che sfidano la comprensione attuale. Applicazioni software come Firefox sono progettate in modo modulare per consentire il ragionamento umano sulla correttezza. Il software è complesso, ma non arbitrariamente complesso, e i difetti software sono finiti. Questo suggerisce che, sebbene l'AI possa accelerare la scoperta, non sta creando un nuovo tipo di minaccia intrinseca.

Abbracciando audit automatizzati avanzati, i leader tecnicici possono sconfiggere attivamente le minacce persistenti. L'afflusso iniziale di dati richiede un'intensa attenzione ingegneristica e una riprioritizzazione delle risorse. Tuttavia, i team che si impegnano nel lavoro di remediation necessario troveranno una conclusione positiva al processo. L'industria si sta muovendo verso un futuro prossimo in cui i team di difesa possiederanno un vantaggio decisivo, grazie alla capacità di identificare e risolvere le vulnerabilità con una velocità e una completezza senza precedenti.