Kiberbiztonság ma: Az MI épp elveszi a penteszterek munkáját

Kiberbiztonság ma: Az MI épp elveszi a penteszterek munkáját

MediaVideo
Yanac

Az Anthropic által indított Project Glasswing és a hozzá kapcsolódó Claude Mythos modell új korszakot jelez a kiberbiztonságban: az AI már nemcsak támogatja, hanem automatizálja a sérülékenységkutatást. A modell képes tömegesen, akár több ezer, eddig ismeretlen (zero-day) hibát feltárni és exploitot is generálni, ami nagyságrendi ugrás a korábbi képességekhez képest.

Ez a képesség azonban azonnal strukturális problémát okozott: már nem a hibák felfedezése a szűk keresztmetszet, hanem a javítás (remediation). A HackerOne példája jól mutatja ezt az „AI-vezérelt remediation válságot”: a bug bounty programokat részben fel kellett függeszteni, mert az automatizált vagy AI-generált jelentések mennyisége kezelhetetlenné vált, miközben a javítási kapacitás nem tud lépést tartani.

A harmadik hír ezt konkrét példával támasztja alá: a Claude egy több mint egy évtizede rejtett hibát talált az Apache ActiveMQ-ben, ráadásul percek alatt. Egy ilyen sérülékenység feltárása korábban akár napokig vagy hetekig tartott volna, ami jól mutatja, hogy az AI drasztikusan csökkenti a belépési küszöböt a vulnerability research területén.

A három történet együtt egyértelmű trendet rajzol ki: az AI „fegyverré válik” a kiberbiztonságban. Egyrészt példátlan sebességgel tár fel hibákat, másrészt ugyanilyen gyorsan túlterheli a védelmi oldalt – legyen szó fejlesztőkről, open source maintainer-ekről vagy bug bounty ökoszisztémáról. A klasszikus modell (emberi kutatás → jelentés → javítás) felborul, és egy új, AI-vezérelt egyensúly alakul ki, ahol a fő kihívás már nem a felfedezés, hanem a priorizálás és a remediation skálázása.

Annak, aki ezt szervezeti szempontból szeretné mélyebben megérteni, annak figyelmébe ajánlom, hogy az ISACA 2026. április 15-től elérhetővé teszi az AAIR (Advanced in AI Risk) vizsgát, amely kifejezetten az ilyen AI-vezérelt kockázatok kezelésére készíti fel a szakembereket.

Források:
Csak óvatosan meri útjára indítani új modelljét az Anthropic: https://www.hwsw.hu/hirek/70417/anthropic-projectcrystal-glasswing-mythos.html
AI-Led Remediation Crisis Prompts HackerOne to Pause Bug Bounties: https://www.darkreading.com/application-security/ai-led-remediation-crisis-prompts-hackerone-pause-bug-bounties
Claude Discovers Apache ActiveMQ Bug Hidden for 13 Years: https://www.infosecurity-magazine.com/news/claude-apache-activemq-bug-hidden/
Who AAIR is for, and When It’s the Right Credential: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2026/who-aair-is-for-and-when-its-the-right-credentialThe Prof and The GeekRead More