AI 正在改变发现和利用漏洞的速度。基于我们自己的发现和安全实践,我们发布了一系列初步建议来加固你的防御。
本周早些时候,我们宣布了 Project Glasswing——我们将最新前沿模型 Claude Mythos Preview 的强大网络安全能力用于防御目的的紧急尝试。AI 模型正在快速降低发现和利用软件漏洞所需的资源、时间和技能。
展望 AI 的飞速发展,我们还注意到,类似能力水平的模型在不久的将来将被广泛使用。在未来 24 个月内,大量在代码中长期未被注意的 bug 将被 AI 模型发现并链接成可利用的攻击。
现在应该做什么
1. 关闭补丁差距
AI 模型非常善于识别未修补系统中已知已修补漏洞的签名。将补丁逆向为可利用攻击正是这些模型擅长的机械分析。
- 立即修补 CISA 已知被利用漏洞(KEV)目录中的所有内容
- 使用 EPSS 优先排序其余部分
- 缩短面向互联网系统的补丁时间
- 在可接受的地方自动化补丁部署和重启
2. 准备处理更高数量的漏洞报告
- 为发现量增加一个数量级做好准备
- 检查开源依赖的安全性
- 对你的供应商应用相同的期望
AI 可以辅助的方式:加速分类、检查依赖冗余、AI 升级自动化、AI 供应商化
3. 在发布前找到 bug
- 将静态分析和 AI 辅助代码审查添加到持续集成管道
- 将自动化渗透测试添加到持续交付管道
- 保护构建管道
- 采用安全设计实践
- 对新代码优先使用内存安全语言
4. 找到代码中已存在的漏洞
按暴露程度优先排序。包括遗留代码。为修复做预算。
5. 为入侵设计
- 采用零信任架构
- 将访问与验证的硬件绑定
- 按身份隔离服务
- 用短期令牌替换长期密钥
6. 减少和清点暴露面
维护所有面向互联网主机、服务和 API 端点的最新清单。停用未使用的系统。最小化每个服务的暴露。
7. 缩短事件响应时间
将模型放在告警队列前面。将检测延迟和覆盖率放在首位。自动化事件中的簿记工作。让模型驱动检测飞轮。
向他人提交漏洞报告的建议
报告只在人类验证并愿意署名时才发送。用通俗语言陈述 bug 及其影响。走查代码路径。提供可工作的复现。包含建议补丁。提前披露 AI 参与。尊重维护者的判断。
如果你没有安全团队
- 打开操作系统、浏览器和每个提供该功能的应用的自动更新
- 优先使用托管服务而不是自托管
- 在每个支持的账户上使用通行密钥或硬件安全密钥
- 启用代码托管上的免费安全工具
本文由 Anthropic 安全工程与研究团队的成员撰写。
评论
💬
还没有评论
欢迎留下第一条评论,帮助这篇内容更快形成讨论。