Anthropic پروژه Glasswing را با اضافه شدن 150 شرکت جدید و تمرکز بر زیرساخت‌های حیاتی گسترش داد

Anthropic از گسترش پروژه Glasswing و اضافه شدن 150 شرکت جدید به این ابتکار مبتنی بر هوش مصنوعی خبر داد؛ برنامه‌ای که با هدف شناسایی آسیب‌پذیری‌های امنیتی در سازمان‌های فعال در حوزه‌های زیرساخت حیاتی از جمله انرژی، آب، سلامت، ارتباطات و سخت‌افزار طراحی شده است. پروژه Glasswing بر حفاظت از سامانه‌ها و سرویس‌هایی متمرکز است که هرگونه ضعف امنیتی در آن‌ها می‌تواند پیامدهای گسترده‌ای برای میلیون‌ها کاربر و بخش‌های حیاتی کشورها به همراه داشته باشد.

کارشناسان ضمن استقبال از این طرح، تأکید دارند که چالش اصلی صرفاً «شناسایی»آسیب‌پذیری‌ها نیست؛ بلکه مدیریت و اصلاح حجم عظیم ضعف‌هایی است که به کمک هوش مصنوعی شناسایی می‌شوند.

گسترش پروژه Glasswing با تمرکز بر امنیت زیرساخت‌های حیاتی

طبق اعلام Anthropic، وجه اشتراک همه شرکای جدید این است که هرگونه حمله موفق به نرم‌افزارها یا دارایی‌های نرم‌افزاری آن‌ها می‌تواند پیامدهایی گسترده و در برخی موارد فاجعه‌بار به همراه داشته باشد. به گفته این شرکت، بسیاری از این سازمان‌ها سرویس‌ها و فناوری‌هایی را ارائه می‌کنند که اختلال یا سوءاستفاده از آن‌ها می‌تواند بیش از 100 میلیون نفر را تحت تأثیر قرار دهد و تبعاتی جدی برای امنیت ملی و جهانی به‌دنبال داشته باشد.

Anthropic این توسعه را بخشی از چشم‌انداز بلندمدت خود برای بهره‌گیری از هوش مصنوعی در ارتقای امنیت نرم‌افزارها می‌داند؛ رویکردی که هدف آن، کمک به صنعت امنیت سایبری برای تطبیق با تغییراتی است که هوش مصنوعی در شیوه شناسایی و مدیریت تهدیدات ایجاد می‌کند. در همین راستا، پروژه Glasswing به‌عنوان بستری برای ارزیابی توانایی هوش مصنوعی در شناسایی آسیب‌پذیری‌ها طراحی شده است.

این برنامه نخستین‌بار در 7 آوریل معرفی شد و در فاز اولیه با حمایت شرکت‌ها و سازمان‌های بزرگی از جمله AWS، Apple، Broadcom، Cisco، CrowdStrike، Google، JPMorgan Chase، Linux Foundation، Microsoft، NVIDIA و Palo Alto Networks آغاز به کار کرد. اندکی بعد، Okta نیز مشارکت خود در این طرح را تأیید کرد.

چالش جدید امنیت سایبری؛ وقتی حجم آسیب‌پذیری‌ها از توان اصلاح آن‌ها پیشی می‌گیرد

کارشناسان معتقدند افزایش تعداد شرکت‌های مشارکت‌کننده در برنامه‌های کشف آسیب‌پذیری، منجر به شناسایی ضعف‌های امنیتی بیشتری خواهد شد؛ اما مسئله اصلی از جایی آغاز می‌شود که این یافته‌ها باید بررسی، اولویت‌بندی و اصلاح شوند. اگر ابزارهای مبتنی بر هوش مصنوعی بتوانند تعداد آسیب‌پذیری‌های شناسایی‌شده را چندین برابر افزایش دهند، این پرسش مطرح می‌شود که آیا شرکت‌ها و تیم‌های امنیتی توان اصلاح و انتشار به‌موقع پچ‌های امنیتی را خواهند داشت؟

این نگرانی چندان هم فرضی نیست. سابقه صنعت نرم‌افزار نشان می‌دهد حتی بزرگ‌ترین شرکت‌های فناوری نیز در بسیاری از موارد برای رفع آسیب‌پذیری‌های شناخته‌شده با چالش زمان مواجه بوده‌اند. نمونه اخیر آن اختلاف میان مایکروسافت و یک پژوهشگر امنیتی بود؛ پژوهشگری که به‌دلیل کندی روند رسیدگی به برخی ضعف‌های امنیتی، جزئیاتی از آن‌ها را عمومی کرد.

در چنین شرایطی، پروژه Glasswing و طرح‌های مشابهی که توسط شرکت‌های فعال در حوزه هوش مصنوعی دنبال می‌شوند، می‌توانند تعداد یافته‌های امنیتی را به‌شکل چشمگیری افزایش دهند. با این حال، افزایش سرعت شناسایی آسیب‌پذیری‌ها به‌تنهایی امنیت بیشتری ایجاد نمی‌کند. اگر فرآیندهای ارزیابی، اولویت‌بندی، توسعه پچ، آزمون و استقرار اصلاحیه‌ها همگام با این روند پیش نروند، سازمان‌ها با فهرستی طولانی از آسیب‌پذیری‌های شناخته‌شده اما پچ‌نشده روبه‌رو خواهند شد.

تام فایندلینگ (Tom Findling)، مدیرعامل Conifers.ai، معتقد است چالش اصلی در «توان سازگاری» سازمان‌ها نهفته است. به گفته او، پس از شناسایی یک ضعف امنیتی، تیم‌های دفاعی باید در کوتاه‌ترین زمان ممکن اعتبار آن را بررسی کنند، میزان اهمیت آن را مشخص کنند و پیش از آنکه مهاجمان از همان اطلاعات سوءاستفاده کنند، اقدامات اصلاحی را انجام دهند.

فایندلینگ تأکید می‌کند مرحله اعتبارسنجی اهمیت ویژه‌ای دارد؛ زیرا ابزارهای هوش مصنوعی همچنان با مشکل «مثبت کاذب» (False Positive) مواجه هستند و همه یافته‌ها الزاماً منجر به یک تهدید واقعی نمی‌شوند. از همین رو، سازمان‌ها نمی‌توانند هر هشدار امنیتی را بدون بررسی، مبنای اقدام فوری قرار دهند.

او در پایان خاطرنشان می‌کند که معیار موفقیت سازمان‌ها تنها تعداد آسیب‌پذیری‌های شناسایی‌شده نیست، بلکه سرعت سازگاری آن‌ها پس از شناسایی یک تهدید معتبر است. به اعتقاد وی، در برخی سازمان‌ها این چرخه سازگاری هنوز ممکن است ماه‌ها زمان ببرد؛ موضوعی که تعیین می‌کند شناسایی آسیب‌پذیری با کمک هوش مصنوعی واقعاً منجر به بهبود دفاع می‌شود یا فقط سرعت و حجم نویز امنیتی را افزایش می‌دهد.

پروژه Glasswing و آشکار شدن چالش واقعی امنیت سایبری

جاستین گریس (Justin Greis)، مدیرعامل شرکت Acceligence معتقد است توسعه این برنامه لزوماً به معنای کاهش ریسک‌های امنیتی نیست؛ بلکه تصویر روشن‌تری از ابعاد واقعی این چالش‌ها در اختیار سازمان‌ها قرار می‌دهد. به گفته او، هوش مصنوعی این واقعیت را آشکار کرده است که مسئله اصلی امنیت سایبری هرگز شناسایی آسیب‌پذیری‌ها نبوده، بلکه توان سازمان‌ها برای رفع و مدیریت آن‌ها بوده است.

به گفته گریس بسیاری از سازمان‌ها همین امروز نیز برای اعتبارسنجی، اولویت‌بندی، توسعه پچ، آزمایش اصلاحیه‌ها و استقرار آن‌ها با محدودیت منابع و زمان مواجه هستند. در چنین شرایطی، حتی اگر هوش مصنوعی بتواند آسیب‌پذیری‌ها را 10 یا 100 برابر سریع‌تر از انسان‌ها شناسایی کند، مسئله حل نمی‌شود؛ بلکه فقط به مرحله بعدی چرخه امنیت منتقل می‌شود.

به گفته او، سازمان‌ها ممکن است به‌زودی با واقعیتی جدید روبه‌رو شوند؛ وضعیتی که در آن از تعداد بسیار بیشتری آسیب‌پذیری آگاه هستند، اما ظرفیت عملیاتی لازم برای رسیدگی به همه آن‌ها را در اختیار ندارند. از این منظر، پروژه Glasswing نمایانگر تحولی عمیق در صنعت امنیت سایبری است؛ تحولی که در آن اولویتِ سازمان‌ها از صرفاً شناسایی ریسک به اجرا و پیاده‌سازی اصلاحات امنیتی تغییر می‌یابد.

از دیدگاه گریس، هوش مصنوعی نقشی دوگانه ایفا می‌کند؛ از یک‌سو سازمان‌ها را در برابر حملات ایمن‌تر می‌سازد و از سوی دیگر، آن‌ها را تحت فشار عملیاتی قرار می‌دهد.

اعتماد به پچ‌های خودکار

گریس ترینیداد (Grace Trinidad)، مدیر پژوهش امنیت هوش مصنوعی در IDC، معتقد است که با توجه به حجم فزاینده آسیب‌پذیری‌های شناسایی‌شده، استفاده گسترده از خودکارسازی در فرآیندهای امنیتی دیگر یک انتخاب نیست، بلکه یک ضرورت است. با این حال، او تأکید می‌کند که موفقیت این رویکرد به یک عامل کلیدی وابسته است: «اعتماد».

به گفته ترینیداد، اگر قرار است پچ‌ها و اقدامات اصلاحی توسط سامانه‌های خودکار تولید شوند، سازمان‌ها باید بتوانند میزان «اطمینان» به خروجی‌های این سامانه‌ها را بسنجند. از همین رو، ارائه «امتیاز اطمینان» (Confidence Score) برای هر پچ ضروری است؛ معیاری که به تیم‌های امنیتی کمک می‌کند تا تشخیص دهند کدام اصلاحیه برای محیط عملیاتی آن‌ها قابل اعتماد، ضروری و آماده استقرار است.

او معتقد است سازمان‌ها نباید صرفاً به خروجی ابزارهای خودکار متکی باشند؛ بلکه باید توانمندی‌های درونی خود را برای شناسایی، اولویت‌بندی و رسیدگی به آسیب‌پذیری‌های متناسب با محیط اختصاصی خود حفظ کنند. به عقیده وی، صنعت امنیت سایبری در حال ورود به مرحله‌ای است که باید یاد بگیرد چگونه به فناوری‌های خودکار اعتماد کند؛ مهارتی که بسیاری از سازمان‌ها هنوز آمادگی کافی برای آن ندارند.

ترینیداد هشدار می‌دهد که سرعت تحولات فعلی، می‌تواند این اعتماد را به چالش بکشد. بنابراین، سازوکار امتیازدهی باید شفاف و قابل تفسیر باشد تا تصمیم‌گیرندگان بتوانند منطق هر امتیاز را به‌روشنی درک کنند.

در این میان، پروژه Glasswing پرسش مهم دیگری را نیز مطرح می‌کند: آیا مدیران ارشد امنیت اطلاعات (CISO) حاضر خواهند بود پچ‌ها و پیشنهادهای اصلاحیِ تولیدشده توسط هوش مصنوعی را بدون بازبینی انسانی در محیط‌های حساس سازمانی پیاده‌سازی کنند؟ پرسشی که هنوز پاسخی قطعی برای آن وجود ندارد.

ترینیداد همچنین به بخشی از بیانیه Anthropic اشاره می‌کند که طبق آن، 150 شرکت جدید پیش از پیوستن به این برنامه باید الزامات امنیتی تعیین‌شده را رعایت کنند. با این حال، به گفته او، اعلام وجود الزامات امنیتی به‌تنهایی نمی‌تواند اعتماد ایجاد کند؛ چرا که جزئیات این الزامات و نحوه بررسی آن‌ها هنوز به‌صورت عمومی منتشر نشده است.

به گفته او، بهره‌گیری از نهادهای مستقل برای انجام ارزیابی‌های امنیتی، راهکار مؤثری است؛ چرا که در این مدل، شرکت‌ها دیگر مسئول تأیید عملکرد خود نخواهند بود. نمونه‌ای از این رویکرد را می‌توان در راهکار شرکت Workday مشاهده کرد که برای اعتبارسنجی امنیت عامل‌های هوش مصنوعی (AI Agents)، از سرویس‌های مستقل و فریم‌ورک‌هایی مانند MITRE ATLAS استفاده می‌کند. هرچند این مدل بیشتر بر ارزیابی امنیتی متمرکز است تا سنجش قابلیت اطمینان، اما می‌تواند الگوی قابل‌اتکایی برای ارزیابی خروجی‌های مبتنی بر هوش مصنوعی باشد.

نگرانی‌های امنیتی در پی افزایش مشارکت‌کنندگان در پروژه Glasswing

کارمی لوی (Carmi Levy)، تحلیلگر مستقل فناوری، با نگاه محتاطانه‌تری به این توسعه می‌نگرد. به گفته او، هدف اولیه این برنامه آن بود که Anthropic با گروهی محدود و به‌دقت انتخاب‌شده از شرکت‌های مورد اعتماد همکاری نزدیک داشته باشد تا در برابر ریسک‌های امنیتی ناشی از نسل جدید مدل‌های زبانی بزرگ (LLMs)، مکانیزم‌های دفاعی مؤثرتری ایجاد شود.

او معتقد است افزایش تعداد مشارکت‌کنندگان به صدها شرکت، از یک سو می‌تواند به تقویت ایده‌ها و توسعه راهکارهای دفاعی کمک کند و از سوی دیگر، احتمال افشای اطلاعات را نیز به‌طور قابل‌توجهی افزایش دهد. به گفته او، Anthropic پیش‌تر نیز با دو مورد افشای مرتبط با این پروژه و مدل‌هایش مواجه شده است.

از نگاه لوی، در یک سناریوی ایده‌آل، Anthropic باید هم‌زمان با این گسترش، برنامه روشنی برای تقویت پروتکل‌های امنیت داخلی خود نیز ارائه می‌داد تا اطمینان حاصل شود کدها و داده‌های حساس در اختیار افراد یا نهادهای غیرمجاز قرار نمی‌گیرد. او هشدار می‌دهد که افزایش تعداد پژوهشگران و مشارکت‌کنندگان، از دید مهاجمان نیز به معنای گسترش سطح حمله (Attack Surface) و افزایش تعداد اهداف بالقوه است.

در نهایت، پروژه Glasswing می‌تواند به نقطه عطفی در استفاده از هوش مصنوعی برای شناسایی آسیب‌پذیری‌ها تبدیل شود، اما موفقیت آن صرفاً به تعداد یافته‌ها وابسته نیست. معیار واقعی، توان اکوسیستم امنیت سایبری در اعتبارسنجی سریع، اولویت‌بندی دقیق، تولید پچ‌های قابل اعتماد (Reliable Patches) و استقرار ایمن اصلاحیه‌ها در محیط‌های حیاتی خواهد بود.

منابع