AI აგენტებმა FFmpeg-სა და Zcash-ში წლების განმავლობაში დამალული კრიტიკული ხარვეზები გამოავლინეს

Depthfirst აცხადებს, რომ მისმა AI აგენტმა FFmpeg-ში 21 „zero-day“ დაუცველობა აღმოაჩინა დაახლოებით 1,000 დოლარის ღირებულების გამოთვლითი რესურსით, ზოგიერთი შეცდომა 20 წელზე მეტი ხნის განმავლობაში იმალებოდა.thenextweb
უსაფრთხოების მკვლევარმა Anthropic-ის Claude Opus 4.8 გამოიყენა Zcash-ში კრიტიკული გაყალბების ხარვეზის აღმოსაჩენად, რომელიც 2022 წლიდან შეუმჩნეველი იყო, რამაც საგანგებო „hard fork“-ის საჭიროება გამოიწვია.tradingview
ZEC-ის ფასი მკვეთრად დაეცა გამჟღავნების შემდეგ, ხოლო Google ↗1.48%-მა მაისში გააფრთხილა პირველი დადასტურებული შემთხვევის შესახებ, როდესაც თავდამსხმელებმა AI გამოიყენეს „zero-day“-ის გამოსაყენებლად.coindesk

AI აგენტებმა FFmpeg-სა და Zcash-ში კრიტიკული დაუცველობები აღმოაჩინეს

ორმა ბოლოდროინდელმა ინციდენტმა აჩვენა, თუ როგორ ცვლის ხელოვნური ინტელექტი კიბერუსაფრთხოების კვლევას, სადაც ავტონომიურმა AI სისტემებმა გამოავლინეს საშიში ხარვეზები, რომლებიც წლების განმავლობაში უცნობი იყო ადამიანებისთვის.

21 „Zero-Day“ აღმოჩენილი FFmpeg-ში 1,000 დოლარად

უსაფრთხოების სტარტაპმა depthfirst-მა გაამჟღავნა, რომ მისმა ავტონომიურმა AI აგენტმა აღმოაჩინა 21 მანამდე უცნობი „zero-day“ დაუცველობა FFmpeg-ში, ღია კოდის მედია ბიბლიოთეკაში, რომელიც ჩაშენებულია თითქმის ყველა აპლიკაციაში, რომელიც ვიდეოს ამუშავებს. პროცესი დაახლოებით 1,000 დოლარი დაჯდა. ზოგიერთი შეცდომა კოდის ბაზაში 20 წელზე მეტი ხნის განმავლობაში იმალებოდა, მიუხედავად იმისა, რომ FFmpeg სკანირებული იყო როგორც Google-ის, ისე Anthropic-ის უსაფრთხოების ინსტრუმენტებით.thenextweb

Depthfirst-ის აგენტმა დაასკანირა FFmpeg-ის დაახლოებით 1.5 მილიონი სტრიქონი C კოდი და შექმნა რეპროდუცირებადი „proof-of-concept“ თითოეული დაუცველობისთვის. ხარვეზებიდან ცხრამ უკვე მიიღო CVE იდენტიფიკატორი. 2024 წლის ოქტომბერში დაარსებულმა depthfirst-მა მარტში 80 მილიონი დოლარი მოიზიდა 580 მილიონი დოლარის შეფასებით, ხოლო მაისში გამოყო 5 მილიონ დოლარამდე პლატფორმის კრედიტი, რათა დაეხმაროს ღია კოდის კრიტიკულ პროექტებს დაუცველობების პოვნასა და გამოსწორებაში.businesswire

Claude Opus 4.8-მა Zcash-ის გაყალბების ხარვეზის გამოვლენაში დაეხმარა

ცალკე, Zcash-ის დამფუძნებელმა Zooko Wilcox-მა 5 ივნისს საჯაროდ გაამჟღავნა დეტალები კრიტიკული გაყალბების დაუცველობის შესახებ კრიპტოვალუტის Orchard-ის დაცულ ფულში. ხარვეზმა, რომელიც 2022 წლის მაისიდან არსებობდა, შესაძლოა თავდამსხმელს საშუალება მისცემდა შეუმჩნევლად მოეჭრა შეუზღუდავი რაოდენობის ყალბი ZEC.tradingview

უსაფრთხოების ინჟინერმა Taylor Hornby-მ, რომელიც Shielded Labs-მა აპრილში დაიქირავა, შეცდომა 29 მაისს აღმოაჩინა Anthropic-ის Claude Opus 4.8-ის გამოყენებით, რომელიც მხოლოდ ერთი დღით ადრე გამოვიდა. Hornby-მ შექმნა სრული „proof-of-concept“ ექსპლოიტი, რომელმაც წარმატებით დააგენერირა ყალბი ZEC ადგილობრივ სატესტო გარემოში. Zcash Open Development Lab-მა 2 ივნისს განათავსა საგანგებო „soft fork“, რამაც გათიშა Orchard-ის ტრანზაქციები, რასაც მოჰყვა „hard fork“ 3 ივნისს, რომელმაც სამუდამოდ დახურა დაუცველობა.blockhead

ZEC-ის ფასი გამჟღავნების შემდეგ 30%-ზე მეტით დაეცა. Shielded Labs-მა განაცხადა, რომ „ზედმეტად არ არის შეშფოთებული“ წინა ექსპლოიტების გამო, რადგან შეცდომა იმდენად დახვეწილი იყო, რომ წლების განმავლობაში ექსპერტების შემოწმებასაც კი გადაურჩა, თუმცა აღიარა, რომ არ არსებობს კრიპტოგრაფიული გზა იმის დასამტკიცებლად, რომ ის არასდროს ყოფილა გამოყენებული.coindesk

დაუცველობების აღმოჩენის ახალი ერა

ინციდენტები უფრო ფართო ცვლილების ფონზე ხდება. Google-ის Threat Intelligence Group-მა მაისში გაავრცელა ინფორმაცია პირველი დადასტურებული შემთხვევის შესახებ, როდესაც თავდამსხმელებმა გამოიყენეს AI ნამდვილი „zero-day“-ის აღმოსაჩენად და გამოსაყენებლად. Anthropic-მა აღნიშნა, რომ მის მოდელებს „ახლა შეუძლიათ მაღალი სიმძიმის დაუცველობების მასშტაბურად პოვნა“.linkedin

როგორც The Next Web-მა აღნიშნა, AI ახლა „პოულობს დაუცველობებს უფრო სწრაფად, ვიდრე ადამიანებს შეუძლიათ მათი გამოსწორება“ — დინამიკა, რომელიც სარგებელს მოუტანს როგორც დამცველებს, ისე თავდამსხმელებს, რადგან ეს ინსტრუმენტები უფრო ქმედითი და ხელმისაწვდომი ხდება.thenextweb