Mythos, Aardvark a AI hľadanie zraniteľností: budúcnosť kyberútokov?
Keď sa hovorí o umelej inteligencii v rukách útočníkov, väčšina ľudí si predstaví phishing, deepfaky alebo falošné správy. To sú témy, ktoré sa ľahko vysvetľujú, pretože sa dotýkajú každodenného života.
Existuje však aj technickejšia oblasť, ktorá môže byť pre budúcnosť kybernetickej bezpečnosti ešte zásadnejšia: autonómne hľadanie zraniteľností.
Zjednodušene povedané, ide o AI systémy, ktoré dokážu čítať softvér, hľadať chyby, testovať ich a navrhovať opravy. To môže byť veľmi dobré, ak ich používajú obrancovia. Môže to byť nebezpečné, ak sa podobné schopnosti dostanú do rúk útočníkov.
Ak vás zaujíma širší kontext útokov s pomocou AI, pozrite si aj článok AI ako útočník a praktický text čo je AI phishing.
Technická stránka AI má však aj pozitívny smer. Ako AI pomáha obrane, monitoringu a reakcii na incidenty, rozoberá článok umelá inteligencia ako obrana.
Čo je zraniteľnosť v softvéri
Zraniteľnosť je chyba alebo slabé miesto v systéme, ktoré sa dá zneužiť. Nemusí ísť iba o veľkú chybu v bankovej aplikácii. Zraniteľnosť môže byť aj zle nastavený server, stará verzia pluginu, slabá kontrola prístupu, chyba v prihlasovaní alebo neopravená aplikácia.
Útočníci zraniteľnosti milujú, pretože im môžu otvoriť cestu do systému. Niekedy stačí jedna neopravená chyba a útočník získa prístup k dátam, účtom alebo celej infraštruktúre.
Preto firmy riešia vulnerability management: pravidelné hľadanie, hodnotenie a opravu zraniteľností. Súčasťou je aj patch management, teda proces aktualizácií a opráv.
Čo je CVE
CVE je verejný identifikátor známej zraniteľnosti. Pomáha bezpečnostným tímom, výrobcom a používateľom hovoriť o tej istej chybe rovnakým názvom. Keď sa povie napríklad „CVE-2025-xxxxx“, ide o konkrétne evidovanú zraniteľnosť.
Čo je zero-day
Zero-day je zraniteľnosť, o ktorej výrobca ešte nevie alebo ešte nemá opravu. Názov naznačuje, že obrancovia majú nula dní na prípravu od momentu, keď sa zraniteľnosť stane známou alebo zneužívanou.
Pre bežnú firmu z toho plynie jednoduchý záver:
- aktualizácie sú nutné, ale nestačia,
- treba mať monitoring,
- treba obmedziť dopad kompromitácie,
- treba mať zálohy,
- treba vedieť rýchlo reagovať.
Čo je bug bounty
Bug bounty je program, v ktorom firma umožní bezpečnostným výskumníkom hľadať zraniteľnosti za jasných pravidiel. AI môže výskumníkom pomáhať, ale nemení základ: testovanie musí byť povolené, zodpovedné a pod ľudskou kontrolou.
Čo znamená agentická AI
Agentická AI, alebo agentic AI, označuje systémy, ktoré nerobia iba jednu odpoveď na jednu otázku. Vedia pracovať vo viacerých krokoch, používať nástroje, plánovať, kontrolovať výsledok a pokračovať.
V bezpečnosti to môže znamenať, že AI prečíta kód, vytvorí si predstavu o systéme, nájde podozrivé miesto, overí, či ide o reálny problém, navrhne opravu a pripraví vysvetlenie pre vývojára.
Ako sa zraniteľnosti hľadali doteraz
Tradične sa chyby v softvéri hľadali viacerými spôsobmi:
- manuálnym bezpečnostným testovaním,
- penetračným testom,
- automatickým skenovaním,
- kontrolou kódu,
- bug bounty programami,
- fuzzingom,
- monitoringom známych CVE zraniteľností.
Každý spôsob má výhody aj limity. Manuálne testovanie je kvalitné, ale drahé a časovo náročné. Automatické skenery sú rýchle, ale často nájdu len známe a jednoduchšie problémy. Vývojári poznajú kód, ale nemusia vždy rozmýšľať ako útočníci.
AI hľadanie zraniteľností prináša nový prvok: schopnosť kombinovať čítanie kódu, logické uvažovanie, testovanie a návrh opráv.
Aardvark a Codex Security: AI ako bezpečnostný výskumník
Aardvark bol predstavený ako agentický bezpečnostný výskumník. V jednoduchom jazyku: AI agent, ktorý sa správa trochu ako bezpečnostný analytik. Pozrie sa na kód, snaží sa pochopiť, čo aplikácia robí, hľadá podozrivé miesta, overuje problém a navrhuje opravu.
To je pre obrancov zaujímavé. Veľa firiem má veľa kódu, málo času a ešte menej bezpečnostných expertov. Ak AI pomôže nájsť chyby skôr, než sa dostanú do produkcie, môže znížiť riziko incidentov.
Dôležité však je, že takýto nástroj nemá nahradiť človeka. Mal by pomáhať vývojárom a bezpečnostným tímom, ale finálne rozhodnutia, priority a opravy musia prejsť ľudskou kontrolou.
Mythos: ukážka rýchlo rastúcich schopností
Mythos Preview ukázal, že moderné AI modely môžu byť silné pri hľadaní a validácii zraniteľností. Nejde len o to, že model upozorní na podozrivé miesto. Dôležité je, že dokáže pracovať vo viacerých krokoch: čítať kód, vytvárať hypotézy, testovať ich, overovať výsledky a pripraviť vysvetlenie.
Pre bezpečnostnú komunitu je to veľká téma. Na jednej strane podobné modely môžu pomôcť rýchlejšie opravovať kritický softvér. Na druhej strane sa skracuje čas, ktorý majú firmy na reakciu po zverejnení chyby.
Kedysi mohlo trvať dlhšie, kým niekto premenil známu zraniteľnosť na prakticky použiteľný útok. S výkonnejšou AI sa tento čas môže skracovať. To znamená, že odkladanie aktualizácií bude čoraz riskantnejšie.
Prečo je to užitočné
AI zraniteľnosti a ich automatizované hľadanie majú veľký obranný potenciál. Môžu pomôcť vývojárom nájsť chyby pred nasadením, bezpečnostným tímom prioritizovať riziká a firmám rýchlejšie opravovať kritické problémy.
Pre malé a stredné firmy môže byť prínos ešte väčší. Nemajú vždy vlastný bezpečnostný tím, ale používajú weby, e-shopy, interné aplikácie, cloudové služby a rôzne pluginy. AI nástroje môžu časom sprístupniť kvalitnejšiu bezpečnostnú kontrolu širšiemu okruhu firiem.
Prečo je to riskantné
Každý nástroj, ktorý pomáha nájsť chyby, môže byť použitý dvoma spôsobmi. Obranca ho použije na opravu. Útočník ho môže použiť na hľadanie cesty dovnútra.
Riziká sú najmä tieto:
- rýchlejšie objavovanie slabých miest,
- rýchlejšie zneužívanie známych zraniteľností,
- väčší tlak na firmy, ktoré pomaly aktualizujú,
- viac automatizovaných pokusov o útok,
- menšia bariéra vstupu pre menej skúsených útočníkov.
To neznamená, že AI bezpečnostné nástroje sú zlé. Znamená to, že svet sa zrýchľuje. Pomalá bezpečnosť bude čoraz väčší problém.
Čo to znamená pre bežnú firmu
Bežná firma nemusí rozumieť detailom exploitov. Mala by však pochopiť dôsledok: nestačí riešiť bezpečnosť raz za rok.
Ak máte web, e-shop, interný systém, vzdialený prístup, cloud, pluginy alebo externých dodávateľov, potrebujete pravidelný proces.
Dôležité otázky:
- Vieme, aké systémy používame?
- Vieme, kto ich spravuje?
- Vieme, ktoré sú verejne dostupné z internetu?
- Máme nastavené pravidelné aktualizácie?
- Sledujeme kritické zraniteľnosti?
- Máme zálohy?
- Vieme rýchlo vypnúť alebo opraviť problém?
- Testujeme bezpečnosť pred nasadením zmien?
Praktické odporúčania
1. Vytvorte zoznam systémov.
Nemôžete chrániť to, o čom neviete.
2. Aktualizujte pravidelne.
Najmä verejné systémy, CMS, pluginy, VPN, firewall a servery.
3. Oddeľte kritické prístupy.
Administrátorské účty majú mať MFA a minimálne potrebné oprávnenia.
4. Robte pravidelné bezpečnostné kontroly.
Aspoň základný vulnerability scan a občasný penetračný test.
5. Sledujte dodávateľov.
Aj externý web alebo plugin môže byť vstupnou bránou.
6. Reagujte rýchlo na kritické zraniteľnosti.
Pri vážnych chybách nečakajte mesiace.
7. Zapojte bezpečnosť do vývoja.
Lacnejšie je opraviť chybu pred nasadením než po incidente.
8. Používajte AI ako pomocníka, nie ako slepého rozhodcu.
AI môže urýchliť analýzu, ale rozhodnutia o riziku a oprave majú mať ľudskú kontrolu.
Záver
Autonómne hľadanie zraniteľností je jedna z najdôležitejších zmien v kybernetickej bezpečnosti. Modely ako Aardvark a Mythos ukazujú, že AI dokáže robiť časť práce, ktorá bola donedávna vyhradená úzkemu okruhu expertov.
Pre obranu je to veľká príležitosť. Pre nepripravené firmy veľké varovanie.
Budúcnosť nebude patriť tým, ktorí nikdy neurobia chybu. Chyby budú vždy. Budúcnosť bude patriť tým, ktorí ich vedia rýchlo nájsť, správne vyhodnotiť a opraviť skôr, než ich niekto zneužije.