#luki-w-oprogramowaniu — Public Fediverse posts

Zwrot akcji w Waszyngtonie. Potężne AI od Anthropic otwiera drzwi do Białego Domu

Jeszcze kilka tygodni temu administracja Donalda Trumpa uznała firmę Anthropic za zagrożenie dla łańcucha dostaw. Dziś szef tej korporacji wchodzi do Zachodniego Skrzydła na negocjacje, a rządowe agencje ustawiają się w kolejce po jej oprogramowanie.

Powód tej nagłej zmiany kursu ma jedną nazwę: Mythos. To model sztucznej inteligencji, który wykrywa luki w zabezpieczeniach tak skutecznie, że Stany Zjednoczone po prostu nie mogą z niego zrezygnować.

Dario Amodei, dyrektor generalny Anthropic, spotkał się w ubiegły piątek z szefową personelu Białego Domu, Susie Wiles, oraz sekretarzem skarbu, Scottem Bessentem. Choć prezydent Donald Trump zapytany na płycie lotniska w Phoenix o tę wizytę stwierdził, że „nie miał o niej pojęcia”, same rozmowy określono oficjalnie jako „produktywne i konstruktywne”.

Nowy Claude ułatwi pracę programistom. Najciekawszy jest jednak model, którego Anthropic nie chce nam pokazać

To diametralna zmiana retoryki. Wcześniej administracja wpisała firmę na czarną listę (kategoria zazwyczaj rezerwowana dla zagranicznych przeciwników), a prezydent zarzekał się, że rząd nie będzie z nią ubijał interesów. Częściowo decyzję tę zablokował sąd federalny w San Francisco, co pozwoliło firmie na zachowanie kontraktów z agencjami cywilnymi w czasie trwania sporu prawnego.

Mythos, czyli model zbyt potężny, by go ignorować

Co skłoniło Biały Dom do pragmatycznych negocjacji? Powodem jest Mythos – najnowsze dzieło Anthropic, udostępniane w ramach bardzo wąskiego Projektu Glasswing. AI to, początkowo nietrenowane pod kątem cyberbezpieczeństwa, samoistnie nabyło zdolność wykrywania krytycznych luk w oprogramowaniu.

Podczas wewnętrznych testów Mythos zlokalizował tysiące nieznanych wcześniej błędów w każdym liczącym się systemie operacyjnym i przeglądarce. Odnalazł między innymi 27-letnią lukę w OpenBSD czy 16-letni błąd w FFmpeg, który wcześniej przeszedł pięć milionów zautomatyzowanych testów bez wykrycia.

Zamiast publicznej premiery, Anthropic udostępnił narzędzie wyłącznie koalicji zaufanych gigantów technologicznych (m.in. AWS, Apple, Google, Microsoft czy JPMorganChase). Rząd Stanów Zjednoczonych obserwował skuteczność tej grupy i doszedł do wniosku, że musi uzyskać dostęp do Mythosa. Agencje wywiadowcze oraz Agencja ds. Cyberbezpieczeństwa (CISA) już go testują, a Departament Skarbu jest na ostatniej prostej do podpisania własnej umowy.

Pęknięcie na linii cywile-wojsko

Obecna sytuacja w Waszyngtonie jest bezprecedensowa. Cywilne instytucje domagają się dostępu do modelu Mythos, by utwardzić rządowe systemy i chronić system finansowy przed atakami. Z drugiej strony Pentagon wciąż podtrzymuje zakaz współpracy, choć – co niezwykle interesujące – wojsko nadal korzysta ze starszych modeli Anthropic (Claude) do działań analitycznych na Bliskim Wschodzie.

Firma Amodeiego błyskawicznie uczy się jednak waszyngtońskich reguł gry. Z publicznych rejestrów wynika, że Anthropic zatrudniło właśnie firmę lobbingową Ballard Partners – tę samą, w której przez lata pracowała obecna szefowa personelu Białego Domu, Susie Wiles. Cel? Rozwiązanie sporu z departamentami odpowiedzialnymi za obronność.

Piątkowe spotkanie miało na celu wyraźne oddzielenie konfliktu z Pentagonem od potrzeb reszty amerykańskiej administracji. Jak ujęła to osoba zbliżona do negocjacji: „Rezygnacja z technologicznego skoku, jaki oferuje ten nowy model, byłaby ze strony rządu skrajnie nieodpowiedzialna. Byłby to po prostu prezent dla Chin”.

Czy ten argument ostatecznie przekona również wojsko? Na ten moment Biały Dom otwiera przed Anthropic drzwi, które jeszcze miesiąc temu wydawały się bezpowrotnie zatrzaśnięte.

Masz sprzęt Apple? OpenAI wymusza pilną aktualizację swoich aplikacji

Posiadacze komputerów z logo nadgryzionego jabłka muszą mieć się na baczności. Twórcy popularnego ChatGPT wezwali właśnie swoich użytkowników do natychmiastowego pobrania najnowszych wersji oprogramowania.

Powodem jest wykryta luka w narzędziach dostarczanych przez firmę trzecią. Choć inżynierowie uspokajają, że nasze dane są bezpieczne, zignorowanie tego apelu sprawi, że programy po prostu przestaną działać.

Sprawa jest poważna, choć samo OpenAI stara się tonować nastroje. W oficjalnym oświadczeniu opublikowanym w piątkowy wieczór czytamy, że problem dotyczy zewnętrznej biblioteki Axios, powszechnie wykorzystywanej przez programistów, która padła ofiarą szerszego incydentu w branży technologicznej.

„Zidentyfikowaliśmy problem związany z narzędziem Axios (…). Z nadmiaru ostrożności podejmujemy kroki w celu ochrony procesu certyfikacji naszych aplikacji dla systemu macOS” – tłumaczą przedstawiciele spółki. Jednocześnie firma wyraźnie podkreśla, że na ten moment nie ma najmniejszych dowodów na to, by dane użytkowników zostały wykradzione, a własność intelektualna lub serwery naruszone. Po co więc ten cały pośpiech?

Ochrona przed oszustami i blokada starych wersji

Głównym zagrożeniem nie jest w tym przypadku bezpośredni wyciek z serwerów firmy, ale ryzyko podszywania się. Odnawiając certyfikaty bezpieczeństwa, OpenAI chce mieć absolutną pewność, że nikt nie spróbuje wykorzystać luki do rozpowszechniania fałszywych, zawirusowanych programów, które system operacyjny mógłby uznać za oficjalne i bezpieczne oprogramowanie.

Aby uchronić się przed potencjalnymi problemami, użytkownicy macOS powinni niezwłocznie zaktualizować następujące aplikacje:

• ChatGPT
• Codex
• Atlas
• Codex CLI

Warto potraktować ten komunikat priorytetowo. Producent poinformował, że po 8 maja 2026 roku starsze wersje wymienionych aplikacji mogą całkowicie stracić łączność z serwerami i przestać funkcjonować. To dość skuteczny sposób, by zmusić opornych do zadbania o cyberbezpieczeństwo. Zamiast czekać na ostatnią chwilę, lepiej od razu wymusić pobranie łatek i cieszyć się spokojem.

OpenAI miało unikać „zadań pobocznych”. Zamiast tego kupuje kalifornijski talk-show za setki milionów dolarów

Europa przejmuje większą kontrolę nad cyberbezpieczeństwem. ENISA dostaje kluczową rolę w systemie CVE

Unia Europejska wykonała istotny krok w stronę większej autonomii cyfrowej. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) uzyskała status Root CNA w globalnym systemie CVE (Common Vulnerabilities and Exposures), który służy do identyfikowania i klasyfikowania podatności w oprogramowaniu na całym świecie.

System CVE jest jednym z fundamentów współczesnego cyberbezpieczeństwa. To właśnie dzięki niemu luki w systemach operacyjnych, aplikacjach i urządzeniach sieciowych otrzymują jednoznaczne identyfikatory, wykorzystywane później przez producentów, administratorów i zespoły reagowania na incydenty. Do tej pory kluczowe role w tym ekosystemie były skoncentrowane głównie poza Europą.

Nowy status ENISA oznacza, że agencja zyskuje realny wpływ na nadawanie i koordynację identyfikatorów CVE, a także na współpracę z krajowymi zespołami reagowania na incydenty oraz europejskimi dostawcami oprogramowania. W praktyce skraca to drogę od wykrycia podatności do jej formalnego opisania i udostępnienia informacji całemu rynkowi.

CVE Foundation przejmuje program CVE po utracie finansowania przez MITRE

Zmiana ma znaczenie nie tylko symboliczne. W świecie, w którym luki bezpieczeństwa coraz częściej wykorzystywane są w atakach o charakterze systemowym i geopolitycznym, kontrola nad infrastrukturą informacyjną staje się elementem suwerenności technologicznej. Dla europejskich firm i instytucji oznacza to lepszą koordynację i większą przewidywalność w reagowaniu na zagrożenia.

Rola ENISA jako Root CNA wpisuje się w szerszy trend wzmacniania europejskich kompetencji cyfrowych. Cyberbezpieczeństwo przestaje być wyłącznie domeną specjalistów IT, a staje się jednym z filarów stabilności gospodarczej i technologicznej całego regionu.

Koniec eldorado na tanie paczki z Chin? UE wprowadza cła na drobnicę już od 2026 roku

#bezpieczeństwoIT #CVE #cyberbezpieczeństwo #cyfrowaSuwerenność #ENISA #europa #lukiWOprogramowaniu #news #podatnościBezpieczeństwa #UniaEuropejska

CodeMender od Google DeepMind: AI, która sama znajduje i naprawia błędy bezpieczeństwa

Google DeepMind zaprezentowało wyniki badań nad CodeMender – nowym agentem AI zaprojektowanym do automatycznego poprawiania bezpieczeństwa kodu.

Rozwiązanie to ma odpowiadać na rosnący problem: choć tradycyjne metody i nowe narzędzia AI, takie jak Big Sleep czy OSS-Fuzz, są coraz skuteczniejsze w odkrywaniu luk, ich ręczne naprawianie jest czasochłonne. W miarę postępów w wykrywaniu podatności, programiści (ludzie) mogą przestać nadążać z ich usuwaniem.

Agent działa na dwa sposoby: reaktywnie, natychmiast łatając nowe luki, oraz proaktywnie, przepisując istniejący kod w celu wyeliminowania całych klas podatności. CodeMender wykorzystuje zdolności rozumowania modeli Gemini Deep Think, aby działać jako autonomiczny agent. Kluczowym elementem jest proces automatycznej walidacji, który gwarantuje, że proponowane poprawki są właściwe, nie powodują regresji (czyli nie psują innych funkcji w kodzie programu) i są zgodne z wytycznymi projektu, zanim zostaną przedstawione człowiekowi do weryfikacji.

Aby skutecznie znaleźć źródło problemu, CodeMender wykorzystuje zaawansowane techniki analizy programu, w tym analizę statyczną, dynamiczną i tzw. fuzzing (testowanie odporności kodu losowymi, celowo zniekształconymi danymi). Pozwala mu to zidentyfikować rzeczywistą przyczynę błędu, a nie tylko jego objawy – jak informuje Google DeepMind w swoim wpisie na oficjalnym blogu, w jednym z przykładów agent odkrył, że zgłaszany błąd przepełnienia bufora był w rzeczywistości spowodowany nieprawidłowym zarządzaniem stosu podczas parsowania XML. System korzysta również z wyspecjalizowanych agentów (systemy wieloagentowe), np. narzędzia opartego na LLM, które weryfikuje zmiany i pomaga w autokorekcie.

Google DeepMind poinformowało, że w ciągu ostatnich sześciu miesięcy, odkąd rozwijany jest CodeMender, zespół przesłał już 72 poprawki bezpieczeństwa do różnych projektów open source, z których wiele zostało już zaakceptowanych. Niektóre z tych projektów liczą nawet 4,5 miliona linii kodu. W ramach działań proaktywnych, CodeMender został użyty m.in. do biblioteki libwebp, aby dodać adnotacje -fbounds-safety. Mechanizm ten pomógłby zapobiec wykorzystaniu słynnej luki (CVE-2023-4863), która w przeszłości była używana do ataków na urządzenia z systemem iOS.

Badacze podkreślają, że choć wczesne wyniki są obiecujące, podchodzą do projektu ostrożnie, stawiając na niezawodność. Obecnie wszystkie poprawki generowane przez CodeMender są sprawdzane przez ekspertów DeepMind przed ich wysłaniem. Zespół planuje stopniowo zwiększać ten proces i kontaktować się z opiekunami krytycznych projektów open source, aby rozwijać własne dzieło na podstawie ich opinii. Celem jest udostępnienie CodeMender jako narzędzia, z którego będą mogli korzystać wszyscy programiści.

Vibe coding, czyli programowanie na czuja. AI miało zastąpić programistów, a stworzyło dla nich nowy rynek pracy

#AI #Bezpieczeństwo #CodeMender #cyberbezpieczeństwo #Gemini #GeminiDeepThink #Google #GoogleDeepMind #kod #lukiWOprogramowaniu #news #openSource #programowanie #sztucznaInteligencja