«Китайский Mythos»: 360 построила ИИ-агента, который находит баги десятками и умеет собирать цепочки атак
Китайская компания 360 Digital Security Group заявила, что превратила искусственный интеллект в инструмент для массового поиска уязвимостей, пишет Bloomberg. Разработанная компанией система уже нашла почти 1000 ранее неизвестных ошибок в популярном ПО, включая Microsoft Office и OpenClaw, открытый фреймворк для создания и запуска ИИ-агентов.
О разработке говорится в отчете Natto Thoughts, исследовательской группы, которая изучает китайскую кибербезопасность. По данным авторов, 360 Digital Security Group в последние месяцы рассказывала о Vulnerability Discovery Agent, ИИ-агенте для автоматического поиска уязвимостей. Компания утверждает, что система выявила почти 1000 ранее неизвестных ошибок в программном обеспечении.
Ранее пекинская компания сообщала, что создала ИИ-инструменты, которые ускоряют поиск ошибок и сборку цепочек эксплуатации. Такие цепочки позволяют злоумышленникам последовательно использовать несколько слабых мест и получать доступ к целевым компьютерам.
Разработка 360 напоминает Mythos, новую ИИ-модель Anthropic для автономного поиска и эксплуатации уязвимостей в популярных технологиях. Anthropic называет Mythos настолько мощной системой, что доступ к модели получили только отдельные организации. Компания предлагает использовать Mythos для поиска и закрытия дыр до того, как слабые места найдут атакующие. Власти США также работают над тем, чтобы предоставить федеральным ведомствам доступ к одной из версий Mythos.
В 360 заявляли, что роль ИИ в компании изменилась «от вспомогательного инструмента до основного двигателя поиска уязвимостей». Автор отчета, старший исследователь Центра исследований безопасности ETH Zurich Эудженио Бенинкаса считает, что 360 фактически пытается занять ту же нишу, что и Anthropic с Mythos.
По словам Бенинкасы, даже завышенные заявления китайской компании показывают развитие базовых возможностей. Исследователь считает, что ИИ постепенно перестает быть помощником и становится масштабируемым механизмом для поиска уязвимостей, а 360 хорошо подходит для продвижения таких разработок в Китае.
Отдельный риск, по мнению Бенинкасы, связан с контролем китайских властей над отраслью кибербезопасности. Китайские исследователи обязаны передавать найденные уязвимости государственным органам, а спецслужбы могут использовать сведения о слабых местах для киберопераций. Бенинкаса считает, что тесная связь частных компаний и государственных структур способна быстрее превращать успехи в поиске уязвимостей в наступательные инструменты.
В марте исследователи обнаружили, что установщик 360 Security Claw оставлял на устройствах приватный SSL-ключ, одинаковый для всех пользователей. Ошибка позволяла перехватывать зашифрованный трафик и проводить атаки посредника, если злоумышленник получал доступ к сети жертвы.
В апреле Anthropic открыла ограниченный доступ к Claude Mythos Preview, модели для автономного поиска и эксплуатации уязвимостей. Компания заявила, что система должна помогать защитникам находить опасные слабые места раньше атакующих.