Cyberbezpieczeństwo wchodzi w etap, w którym tempo zmian wyraźnie wyprzedza zdolność organizacji do reakcji. Jak wynika z analiz ENISA, cyberataki są coraz częściej automatyzowane i łączone w złożone łańcuchy działań, co skraca czas między ujawnieniem podatności a jej wykorzystaniem . W odpowiedzi na te wyzwania Palo Alto Networks wprowadza Frontier AI Defense, usługę opartą na sztucznej inteligencji świadczoną przez specjalistów z działu Unit 42, która ma wspierać szybsze identyfikowanie zagrożeń oraz ograniczanie ekspozycji organizacji na nowe typy ataków.

Rozwój tzw. modeli „frontier AI”, czyli najbardziej zaawansowanych systemów sztucznej inteligencji nowej generacji, wchodzi w etap, w którym zmienia się nie tylko tempo działania systemów, ale także sama natura cyberzagrożeń. Wraz z pojawieniem się modeli takich jak Anthropic Mythos sztuczna inteligencja zaczyna w coraz większym stopniu przejmować zadania, które dotąd wymagały aktywnego udziału cyberprzestępców. W praktyce oznacza to, że AI przestaje być tylko narzędziem przyspieszającym pojedyncze etapy ataku. Systemy te coraz częściej potrafią samodzielnie wyszukiwać podatności, łączyć je w łańcuchy oraz wykorzystywać w sposób zbliżony do działania autonomicznego systemu.

 

Projekt Glasswing i nowy sposób patrzenia na podatności systemów IT

W tym kontekście kluczowe znaczenie ma Projekt Glasswing firmy Anthropic, realizowany we współpracy z partnerami, w tym Palo Alto Networks, który koncentruje się na praktycznej ocenie możliwości najnowszych modeli klasy frontier AI w środowiskach zbliżonych do rzeczywistych zastosowań w cyberbezpieczeństwie. Projekt nie jest typowym testem laboratoryjnym, ale próbą sprawdzenia, jak zaawansowane modele zachowują się w scenariuszach związanych z analizą kodu, wykrywaniem podatności i rozumieniem złożonych systemów aplikacyjnych .

W ramach tych prac testowane są zarówno modele takie jak Mythos, jak i rozwiązania rozwijane w programie Trusted Access for Cyber firmy OpenAI, aby ocenić ich zdolność do pracy na poziomie całych środowisk systemowych, a nie tylko pojedynczych fragmentów kodu. Celem nie jest wyłącznie weryfikacja techniczna, ale przede wszystkim zrozumienie, jak szybko i w jakim kierunku ewoluuje rola sztucznej inteligencji w cyberbezpieczeństwie oraz jakie nowe ryzyka i możliwości się z tym wiążą. Analizy wskazują na wyraźny skok w możliwościach pracy z kodem oraz jego zaawansowanej analizy. Wykazano, że nowe modele nie ograniczają się już do wykrywania pojedynczych błędów. Potrafią analizować całe środowiska aplikacji i rozumieć ich logikę. Istotną zmianą jest również zdolność do łączenia pozornie niezależnych podatności w jeden spójny ciąg działań, który może prowadzić do ich realnego wykorzystania.

 

Cykl ataku skraca się do minimum

Kluczowym wnioskiem z analiz jest pojawienie się zjawiska określanego jako „vulnerability deluge”, czyli gwałtownego wzrostu liczby podatności wykrywanych i wykorzystywanych z udziałem zaawansowanych modeli AI. W praktyce oznacza to, że organizacje nie mierzą się już z pojedynczymi informacjami o podatnościach, lecz z ciągłym napływem nowych zagrożeń, które pojawiają się szybciej, niż tradycyjne mechanizmy obrony są w stanie na nie odpowiedzieć. W tym kontekście coraz większe znaczenie ma także to, jak długo podatność pozostaje aktualna. W przypadku Zero Day kluczowe jest to, że luka wykorzystywana jest jeszcze przed jej ujawnieniem lub przygotowaniem poprawki. Z kolei określenie “N Day” odnosi się do podatności już znanych i dla których często są już dostępne poprawki, które mimo to nadal pozostają aktywnie eksploatowane. Oba przypadki pokazują, że samo wykrycie zagrożenia nie jest już wystarczające, a o poziomie ryzyka decyduje przede wszystkim tempo reakcji.

W efekcie coraz trudniej utrzymać skuteczny model reakcji. Czas między wykryciem podatności a jej wykorzystaniem znacząco się skraca, ponieważ część procesów ataku może być automatyzowana. Każda niezałatana luka staje się więc potencjalnie szybkim celem. Oznacza to zmianę podejścia do cyberbezpieczeństwa. Reakcja po wystąpieniu incydentu przestaje być wystarczająca, ponieważ w wielu przypadkach następuje zbyt późno. Coraz większe znaczenie zyskuje szybkie wykrywanie zagrożeń oraz natychmiastowa odpowiedź, coraz częściej wspierana automatyzacją i analizą w czasie rzeczywistym. W praktyce oznacza to przejście do modelu, w którym systemy bezpieczeństwa skracają czas między wykryciem zagrożenia a jego neutralizacją. Tradycyjne, ręczne procesy tracą na znaczeniu, ponieważ nie są w stanie nadążyć za tempem i skalą współczesnych ataków.

 

– Istotną rolę w tej zmianie odgrywa ekosystem open source, który stał się jednym z kluczowych obszarów analizy w kontekście rozwoju sztucznej inteligencji i cyberbezpieczeństwa. Jego transparentność, dotychczas postrzegana jako przewaga, w erze AI nabiera bardziej złożonego znaczenia i nowych konsekwencji dla bezpieczeństwa. Modele klasy frontier AI coraz skuteczniej analizują publicznie dostępny kod na dużą skalę, co pozwala szybciej wykrywać błędy i tworzyć zależności między pozornie niepowiązanymi elementami systemów, a w konsekwencji wdrażać bardziej złożone scenariusze wykorzystania luk. Ponieważ duża część oprogramowania komercyjnego opiera się na komponentach open source, ryzyko obejmuje dziś nie tylko pojedyncze projekty, lecz cały łańcuch zależności technologicznych – podkreśla Tomasz Pietrzyk, dyrektor techniczny w regionie Europy Środkowo Wschodniej w Palo Alto Networks.

 

Frontier AI Defense: nowe podejście do cyberbezpieczeństwa w dobie AI

W cyberbezpieczeństwie coraz większe znaczenie zyskuje podejście, w którym kluczową rolę odgrywa szybkość działania. Upowszechnienie zaawansowanych modeli sztucznej inteligencji sprawiło, że zarówno zespoły odpowiedzialne za bezpieczeństwo, jak i cyberprzestępcy zyskują nowe możliwości automatyzacji i wykorzystywania podatności, w tym łączenia ich w złożone ścieżki ataku. W odpowiedzi na te zmiany Palo Alto Networks wprowadza Frontier AI Defense nową usługę dostosowaną do zagrożeń związanych z rozwojem sztucznej inteligencji .

Usługa ta opiera się na trzech obszarach. Pierwszy obejmuje analizę ekspozycji i identyfikację luk i podatności, które mogłyby zostać wykorzystane w potencjalnych atakach. Drugi koncentruje się na ocenie aktualnych mechanizmów zabezpieczeń oraz wskazaniu obszarów wymagających wzmocnienia. Trzeci dotyczy zmian w architekturze i sposobie działania systemów bezpieczeństwa, tak aby lepiej odpowiadały na zagrożenia działające w krótszych cyklach czasowych. Celem jest odejście od reaktywnego modelu bezpieczeństwa na rzecz podejścia, w którym większy nacisk kładzie się na analizę ryzyka, skracanie czasu reakcji oraz dostosowanie procesów do rosnącej automatyzacji po stronie atakujących.

 

Cyberbezpieczeństwo jako proces ciągłej adaptacji

W efekcie cyberbezpieczeństwo coraz wyraźniej staje się obszarem ciągłej transformacji, w której kluczowe znaczenie ma zdolność organizacji do szybkiego dostosowywania się do nowych warunków. Rozwój sztucznej inteligencji nie tylko przyspiesza tempo działania obu stron, ale też zmienia sposób, w jaki definiowane są zagrożenia i budowane mechanizmy obronne. Granica między analizą, wykrywaniem i reakcją stopniowo się zaciera, a skuteczność ochrony w coraz większym stopniu zależy od tego, na ile organizacje są w stanie działać w sposób spójny, zautomatyzowany i oparty na aktualnym obrazie ryzyka. W tym ujęciu cyberbezpieczeństwo przestaje być stanem możliwym do trwałego osiągnięcia, a staje się ciągłym procesem wymagającym nieustannej adaptacji.