2026. január 26. · MI Történik? · 2 perc olvasás
Sean Heelan független kutató nemrégiben tesztelte, hogy az Opus 4.5 és a GPT-5.2 mennyire jól tud exploits-okat generálni egy zeroday sérülékenységre a QuickJS Javascript interpreterben. Mindkét modell nagyon jól teljesített, és ennek súlyos következményei vannak a cybersecurity számára.
„Fel kell készülnünk az offenzív cybersecurity számos alkotóelemének iparosítására. El kell kezdenünk feltételezni, hogy a közeljövőben egy állam vagy csoport azon képességének korlátozó tényezője, hogy exploits-okat fejlesszen, behatoljon hálózatokba, emelje a jogosultságokat és ott maradjon ezekben a hálózatokban, a token throughput-juk lesz idővel, és nem az általuk foglalkoztatott hackerek száma” – írja.
Megjegyzések: A QuickJS egy egyszerű Javascript interpreter a Chrome-ban és Firefoxban találhatóakhoz képest. Ezért nehezebb lehet az LLM-ek számára a bonyolultabb és szélesebb körben elterjedtebbeket alkalmazni – bár mint minden AI-ban, itt is gyors javulásra számíthatunk a teljesítményben.
Mit jelent az iparosodott behatolás? „Már abban a pontban vagyunk, ahol a sérülékenység felderítésével és az exploit fejlesztéssel tokeneket valós eredményekre cserélhetünk” – írja. „Azok a problémák, amelyekkel szembesülsz, ha automatizálni akarod az SRE-k, rendszergazdák és fejlesztők munkáját, akik a production network-öket kezelik, koncepcionálisan hasonlóak azokhoz, amelyekkel egy hacker szembesül egy ellenfél hálózatán belül.”
Számos bizonyíték van a fentiekre, például az OpenAI Aardvark projektje (ahol azt tapasztalják, hogy minél több tokent költenek, annál több hibát találnak), és az Anthropic [AI által irányított hacking rendszer felfedezése](https://www.anthropic.com/news/disrupting-AI-espionage).
Miért fontos?
Miért fontos ez – a kibervilág gépsebességre vált: Az a fogadásom, hogy a cyberoffense és cyberdefense legtöbb része „gépsebességgel” fog működni, ahol az embereket kiiktatják a legtöbb kritikus ciklusból. Ez egyrészt növeli a hacking támadások gyakoriságát, másrészt drámaian megnöveli bármely egyedi emberi védő vagy támadó hatékonyságát (mivel AI rendszerek skálázzák majd őket, amelyek számukra dolgoznak). Az igazi bizonytalan kérdés az, hogy ez inkább offenzív vagy defenzív dominanciát eredményez-e – a tippem az, hogy az offenzív dominancia korszakába tartunk, mivel eltart egy ideig, amíg a védekezések bevetésre kerülnek.
Kapcsolódó hír, hogy Sam Altman, az OpenAI vezérigazgatója ezen a héten azt mondta, arra számít, hogy az OpenAI modelljei hamarosan elérik a „Cybersecurity High” szintet cége felkészültségi keretrendszerében – ez azt jelentené, hogy olyan modellek válnának elérhetővé, amelyek „megszüntetik a cyber műveletek skálázásának meglévő szűk keresztmetszeteit, beleértve a végponttól végpontig terjedő cyber műveletek automatizálását ésszerűen megerősített célpontok ellen, VAGY az operacionálisan releváns sérülékenységek felderítésének és kihasználásának automatizálását” – [köszönet Nathan Calvinnek, hogy felhívta erre a figyelmet](https://x.com/_NathanCalvin/status/2014737868510343277).