オピニオン振り返ってみると、これを「Mythos」と呼んだことは運を試す行為でした。Anthropicはこの名前がそのAIコードセキュリティモデルに神話的な神のような力があることを暗に示していると期待していたかもしれませんが、別の読み方もあります。「Mythos」のもう一つの定義は、不明瞭な由来を持つ信念の集合で、現実と相容れないものです。
その現実が明らかになりつつあります。それは神話的というより、むしろ典型的に見えています。Mythosは専門家の人間が行うことの多くを自動化できる優れたツールですが、それから最も利益を得るのは専門家の人間です。それは人間が知っている脆弱性のクラスを見つけるのに非常に優れていますが、人間が知らないものは見つけません。訓練ですね?Project Glasswingは、実際のニーズを持つ信頼できるパートナーへの初期使用を制限しており、その力を善のために使用するための責任あるアプローチである可能性が高いですが、他の制限のないモデルもこれに非常に優れています。ハイプもあれば真実もあり、LLMはLLMらしくあります。
唯一の真の革新はAI企業が倫理的に事業を行うことだと言うのは皮肉です。クローズドなロールアウトと伴うパブリシティを単なるハイプの演習と見なすのも同等に皮肉です。より建設的であり、おそらくより正確であり、確かにより興味深いのは、これをすべてより良い未来への早い一瞥として受け取ることです。脅威の風景がコントロールできない地質学的および気候的力の関数であることを止め、代わりに培われ、制御され、ありがたいことに反クライマックスな風景に変わるような未来です。
2つの命題が道を指しています。1つは、Mythosのようなツールの有効性が進化し続け、ますます多くの構造的および個別のコード欠陥を明らかにするということです。もう1つは、これらのツールが必然的に一般利用可能になるということです。どのくらい迅速かつ安価になるかはコントロール可能かもしれませんが、結果は避けられません。ITに長期的な秘密はありません。
今、そしてしばらくの間、ほとんどの実行中のコードは脆弱性検出の前工業化時代に書かれています。目ではなく、AI目が仕事をしました。これは容赦ない脆弱性狩りロボットの群れを放つのに悪い公共環境です。彼らが早すぎる時期に来たら、それは厄介になるでしょう。そして彼らは来ています。
しかし、その移行を無傷で乗り切ることができれば、ロボットに自由に徘徊させましょう。セキュリティリスクを全く提示しないことが保証されているコードのクラスが1つあります。それはデプロイされていないコードです。新しいコードには多くの問題があります。デプロイメント前に捕捉されるものもあれば、そうでないものもありますが、無限の数ではありません。本当に優れたツールが存在する場合、コードはリリース前に本当に優れたものにすることができます。その後、悪者が同じツールを利用できるかどうかは重要ではありません。
良いモデルであり、よく引用されるのは航空安全です。ジェット機時代の初期、新しい客機は空から落ちることを原因とする構造的および機械的な障害を持っていました。時間の経過とともに、設計と材料知識が向上しただけでなく、エンジニアリングと規制規律も進化しました。今では、まだクラッシュがありますが、それらは必然的に正しく行われるべきだが行われなかったことに遡ることができます。翼で待っている新しい未発見の障害クラスはありません。コードが何か違うものである可能性は極めて低いです。結局のところ、ジェット機を飛ばしているのと同じくらいの期間、正確にそれを行っています。
コードの脆弱性を修正するだけではセキュリティは修正されません。それは、優雅に安全な航空機を製造して飛ばす方法を知ることが、燃料汚染、ガチョウの群れ、または愚かな人間がそれらを折り曲げるのを防ぐのと同じ方法です。ただし、それは非常に役に立ちます。既知および未知の脆弱性の長いチェーンに基づく悪用を見ることは、コードがどれほど不安定であるかを示していますが、それはこれらのバグのうちの1つを削除することが攻撃全体をシャットダウンすることを示しています。失敗のスイスチーズモデルは、チーズがチェダーに向かうほど機能しなくなります。
コードの外側の穴、サプライチェーンの悪用、特別なエンジニアリング、率直な内部破壊作業に関しては、それらをエンコード、モデル化、トレーニングできる限り、それらも推論エンジンの尽きない忍耐に応じるでしょう。そして、企業インフラストラクチャの大部分が古い、パッチされていない、または設定が間違ったシステムを実行し続ける間、それは死の時代からの航空機で飛ぶようなものになるでしょう。飛ぶべきではないものを地上に置く権力を持つFAAと同等のIT機関はありません。もちろん、それは楽しい反事実になるだろう。
これもやがて過ぎ去るでしょう。数百の脆弱性を捕捉するツールが古いコードをより安全にしない、新しいコードを非常に安全にしない方法はありません。欠陥を見つけるためのツールが、固有の強度のためにコードを設計、因数分解、作成するための技術とともに進化する方法を見るのは最も興味深いでしょう。誰も現在のことが最も効率的で、最も安い方法であると期待するべきではありません。また、人間の専門知識が使用から落ちることを期待すべき人もいません。航空安全の多くの問題が人的障害を中心に展開しているという事実は、人間がまだ設計、建設、保守、および上空での運用にどれほど本質的であるかを示しています。
コンピュータに得意なことをさせ、人間に得意なことをさせてください。古いが真実です。デジタル生活の数十年から、人間はセキュリティに非常に優れていないこと、そしてコンピュータもそれに非常に優れていないことを知っています。別の古い言い方では—ツールをください。そうすれば仕事は終わります。Mythosはまだそれを可能にするツールではありません。一般的にAIはことを悪化させることが決心しているようです。
今、ついに、私たちは前に進む道、実際に起こりそうな異なる方法を見ることができます。脅威の風景だったものは、良いことが成長する庭園になることができます。それは神話ではなく、それが未来です。®
