2024 m. mokslininkai iš Ilinojaus universiteto nustatė, kad GPT-4, kai pateikiamas bendras pažeidžiamumo ir poveikio (CVE) aprašymas, galėtų savarankiškai išnaudoti 87 % kuruojamo 15 pažeidžiamumo vienos dienos duomenų rinkinio. Be aprašymo ji galėtų išnaudoti tik 7 proc. Tai suteikė pramonei „saugos ribą“, nes AI galėjo išnaudoti žinomus pažeidžiamumus, tačiau negalėjo jų aptikti.
Tačiau balandžio 7 d. Antropinis paskelbė kad Claude’as Mythos Preview uždarė šią ribą, o modelis savarankiškai atrado tūkstančius nulinės dienos pažeidžiamumų pagrindinėse operacinėse sistemose ir naršyklėse. Atskirai „Mythos“ surinko 83,1% „CyberGym“ pažeidžiamumo atkūrimo etalono. Vienoje kampanijoje, skirtoje OpenBSD per 1000 pastolių, bendra skaičiavimo kaina buvo mažesnė nei 20 000 USD.
Išnaudojimo terminai žlunga. Langflow CVE-2026-33017 (CVSS 9.8) buvo išnaudota praėjus 20 valandų po atskleidimo be viešo koncepcijos įrodymo. Marimo CVE-2026-39987 (CVSS 9.3) buvo pataikė per 9 valandas ir 41 minutę.
Gynybinė infrastruktūra, kuria remiasi dauguma organizacijų, nebuvo tam sukurta. „Rapid7“ 2026 m. grėsmių kraštovaizdžio ataskaita teigia, kad vidutinis laikas nuo CVE paskelbimo iki CISA žinomų išnaudotų pažeidžiamumų (KEV) įtraukimo į sąrašą yra penkios dienos. „Google“ M-Trends 2026 m ataskaitoje nustatyta, kad išnaudojimas vyksta net prieš išleidžiant pataisą. Kai buvo paskelbtas Langflow patarimas, pirmasis išnaudojimas pasirodė per 20 valandų. Kai buvo paskelbtas „Marimo“ patarimas, užtruko mažiau nei 10 valandų.
Prielaida, kad jūsų pataisos langas yra saugus, nes išnaudojimas užtrunka, nebėra tiesa. Štai jūsų statybiniai blokai.
Pakeiskite tik CVSS prioritetų nustatymą trijų sluoksnių filtru
Dauguma pažeidžiamumo valdymo programų vis dar teikia pirmenybę tik pagal CVSS balą. CVSS kiekybiškai įvertina pažeidžiamumo „teorinį“ sunkumą, neatsižvelgdama į tai, ar pažeidžiamumas yra išnaudojamas gamtoje ir kaip greitai kas nors galėtų jį panaudoti. CVSS 8.8 pažeidžiamumas su aktyvaus išnaudojimo istorija (pvz., Docker’s CVE-2026-34040).
A neseniai atliktas tyrimas Patvirtintas 28 377 realaus pasaulio pažeidžiamumų atžvilgiu, siūlo konkretų pakeitimą: trijų sluoksnių sprendimų medį, apimantį CISA KEV būseną, išnaudojimo numatymo balų sistemos (EPSS) balus ir CVSS, taip sudarydamas išskirtinį prioritetų nustatymo filtrą.
Trijų sluoksnių pažeidžiamumo prioritetų nustatymo filtras
|
Sluoksnis |
Duomenų šaltinis |
Slenkstis |
Veiksmas |
SLA |
|
1. Aktyvus išnaudojimas |
CISA KEV katalogas |
Į sąrašą įtraukta |
Iškart pataisymas |
Valandos |
|
2. Numatomas išnaudojimas |
EPSS per FIRST.org |
Balas ≥ 0,088 |
Perkelti į 0 pakopos dujotiekį |
24 valandos |
|
3. Pradinis sunkumo lygis |
CVSS per NVD |
balas ≥ 7,0 |
Tipiškas ištaisymas |
Pagal politiką |
Patvirtintas rezultatas: 18 kartų didesnis efektyvumas, 85,6% išnaudotų pažeidžiamumų padengimas, ~95% sumažintas skubios ištaisymo darbo krūvis. Visi trys duomenų šaltiniai yra atviri ir nemokami.
Aprašyta integracija yra visiškai automatizuota. Galima sukurti scenarijų, kad būtų pateikta užklausa CISA KEV API, EPSS API iš FIRST.org ir NVD, ir šis scenarijus būtų paleistas pagal kiekvieno paskelbto CVE išteklių inventorių. Žmogus šiame procese turėtų likti kilpoje kaip patvirtinėjas, bet ne kaip paleidėjas.
Uždarykite agento įgaliojimo spragą
Greitas išnaudojimų kūrimas ne tik keičia tai, kaip pataisoms suteikiamas prioritetas, bet ir kaip sukonfigūruojami visų agentų valdomų sistemų, kurios dabar turi privilegijuotus kredencialus, valdikliai. Jūsų autorizacijos politika nebuvo įvertinta atsižvelgiant į AI agentų elgesį, ir tai dabar yra išmatuojama rizika. CVE-2026-34040 parodė, kad Docker autorizacijos papildinio architektūra tyliai apeina kiekvieną papildinį, kai užklausos turinys viršija 1 MB. Įprasti AuthZ įskiepiai (OPA, Casbin, Prisma Cloud) nežino šio tipo apėjimo, kuris įvyksta Docker tarpinėje programinėje įrangoje prieš užklausai pasiekiant papildinį.
Kada Cyera pademonstravo šį pažeidžiamumąjie parodė, kad AI agento derinimo infrastruktūra gali nustatyti apėjimo kelią atlikdama teisėtą užduotį be jokių nurodymų ką nors išnaudoti.
Interneto inžinerijos darbo grupė (IETF) kuria agentų autorizacijos modelius. Dokumentas draft-klrc-aiagent-auth-01Kovo mėn. paskelbtame AWS, Zscaler, Ping Identity ir OpenAI dalyvių siūlomame dirbtinio intelekto agentams naudoti dabartinę saugaus gamybos tapatybės sistemą (SPIFFE) ir OAuth 2.0, kad jie gautų dinamiškai aprūpintus ir trumpalaikius kredencialus.
Atskirai IETF Agento tapatybės protokolo projektas (draft-prakash-aip-00) praneša, kad iš maždaug 2000 apklaustų modelio kontekstinio protokolo (MCP) serverių nė vienas neturėjo autentifikavimo.
Tačiau iki šių standartų įgyvendinimo reikia kelių mėnesių ar metų. Kol kas saugos komandos turi aktyviai įtraukti agento lygio bandymų scenarijus visoms prieigos riboms, pvz., per didelėms užklausoms, serijų dažniui ir kelių etapų privilegijuotųjų užklausų eskalavimui.
Nubrėžkite savo kredencialų sprogimo spindulį
A CSA/Zenity atlikta apklausa ir paskelbta balandžio 16 d., 53% organizacijų teigė jau matę atvejų, kai dirbtinio intelekto agentai viršijo jiems numatytus leidimus, o 47% patyrė saugumo incidentą, kuriame dalyvavo agentas.
Kai dirbtinio intelekto kūrimo įrankiai, tokie kaip Skystis (CVE-2025-59528, CVSS 10.0), Langflow arba n8n pažeidžiami, sprogimo spindulys yra toli už pagrindinio kompiuterio. Šiuose įrankiuose yra API raktų, skirtų pasienio modeliams, duomenų bazės kredencialams, vektorinių saugyklų prieigos raktams ir verslo sistemų OAuth prieigos raktams. Pažeistas AI kūrėjo priegloba nėra tik vienos sistemos pažeidimas. Tai yra kredencialų rinkimas, kuris atrakina autentifikuotą prieigą prie kiekvienos prijungtos paslaugos.
Be kiekvieno AI įrankio prieglobos kredencialų priklausomybės žemėlapių, atsakas į incidentą dėl agento kompromiso yra spėliojimas. Kiekvienu atveju dokumentuokite kiekvieną kredencialą, jo prieigos mastą ir atitinkamą kredencialų kaitos procesą. Taip pat pradėkite perkelti statinius API raktus į trumpalaikius prieigos raktus, jei tai leidžia paskesnės paslaugos.
Penki šio ketvirčio veiksmai
1. Įdiekite trijų sluoksnių KEV-EPSS-CVSS filtrą
Pakeiskite tik CVSS prioritetų nustatymą pagal aukščiau pateiktą lentelę. Automatizuokite duomenų rinkimą iš visų trijų API kaip suplanuoto scenarijaus dalį pagal jūsų išteklių atsargas. Pageidaujamas rezultatas: 18 kartų efektyvesnis, 85,6 % išnaudotų pažeidžiamumų aprėptis, 95 % sumažintas skubios ištaisymo darbo krūvis.
2. Įdiekite įvykiais pagrįstą pataisymą 0 pakopos paslaugoms.
Nustatykite, kurios paslaugos patenka į kritinio poveikio pakopą: paslaugos, tiesiogiai prieinamos interneto naudotojams, AI kūrėjų priegloboms ir konteinerių orkestravimo valdymo plokštumai. Suaktyvinkite įvykiais pagrįstą pataisymą CVE leidinyje, užuot laukę kito šios pakopos priežiūros lango.
Tikslas: įdiegti pataisą į Canary per keturias valandas nuo CVE paskelbimo kritiniu. Naudokite CISA KEV ir EPSS sklaidos kanalus, kad suaktyvintumėte įvykiais pagrįstą pataisymą. Tais atvejais, kai neįmanoma pasiekti keturių valandų pataisymo tikslo dėl senų priklausomybių, pakeitimo užšaldymo langų ar atkūrimo rizikos, nedelsdami pritaikykite kompensuojančius valdiklius, pvz., pašalinkite pažeidžiamos paslaugos prisijungimą prie interneto, pakeiskite pažeidžiamos paslaugos kredencialus, išjunkite paveiktas paslaugos funkcijas (jei taikoma) ir nustatykite ekspozicijos savininką, kol bus įdiegta išimtis.
Nepriimtina leisti neribotą ekspoziciją ilgesnį laiką, kol laukiama priežiūros laikotarpio.
3. Patikrinkite įgaliojimų ribas agento mastu.
Sukurkite kiekvienos API, su kuria AI agentai gali susisiekti naudodami „AuthZ“ politiką, bandomuosius atvejus. Tiksliau, įtraukite bandomuosius atvejus, kai užklausos yra didesnės nei 1 MB, 5 MB ir 10 MB. Tai apima bandomuosius atvejus, kai serijos greitis > 100 užklausų per sekundę, ir neįprastų parametrų derinių (privilegijuotų žymų, pagrindinio kompiuterio prijungimų, galimybių papildymų) bandymo atvejus. Be to, pataisa į Docker Engine 29.3.1 pataisyti CVE-2026-34040.
4. Visų AI kūrimo prieglobų kredencialų sprogimo spindulio atvaizdavimas.
Dokumentuokite kiekvieną kredencialą kiekvienam Langflow, Flowise, n8n ir pasirinktiniam AI dujotiekio egzemplioriui. Klasifikuokite kiekvieną kredencialą pagal jo naudojimo trukmę (statinis raktas ir trumpalaikis prieigos raktas). Nustatykite, ką gali pasiekti kiekvienas kredencialas. Nustatykite įspėjimus dėl anomalios IP arba tapatybės bet kokios kredencialų prieigos.
5. Šios savaitės šešėlinio AI atradimo nuskaitymas.
Remiantis CSA duomenimis, yra didesnė nei 50 % tikimybė, kad jūsų agentai viršijo numatytas ribas. Patikrinkite saugos informacijos ir įvykių valdymo (SIEM) ir tinklo stebėjimo įrankius, skirtus ryšiams su numatytaisiais AI kūrėjo prievadais: Langflow 7860, Flowise 3000 ir n8n 5678. Bet kokie neleistini atvejai yra nekontroliuojamas atakos paviršius.
Išsinešimas
Atsiranda AI agentai, o tstandartų institucijos reaguoja. IETF turi kelis juodraščius, susijusius su agento autentifikavimu ir autorizavimu. The Koalicija už saugų AI paskelbė savo MCP saugumo taksonomija ir „Secure by-Design“ principai.
Tačiau šie standartai juda standartiniu kūno greičiu, o išnaudojimo langas dabar matuojamas valandomis. Organizacijos, kurios šį ketvirtį įdiegs trijų sluoksnių filtrą ir įvykiais pagrįstą pataisymą, turės išmatuojamą poveikio sumažėjimą. Tie, kurie laukia, vykdys kalendorių pagrįstus pataisų ciklus prieš priešą, kuris veikia greičiau nei per 20 valandų.
Nikas Kale’as yra pagrindinis inžinierius, kurio specializacija yra įmonės AI platformos ir apsauga
