Een nieuw AI-model van Anthropic kan automatisch beveiligingslekken vinden in grote softwareplatforms, wat indirect ook de digitale veiligheid van MKB-bedrijven kan verbeteren. Het gaat niet om een tool die je zelf kunt kopen, maar om een technologie die grote leveranciers zoals Microsoft en Google gaan gebruiken om hun eigen producten veiliger te maken.
Wat er aan de hand is
Anthropic, het bedrijf achter de AI-assistent Claude, heeft een nieuw AI-model gelanceerd genaamd Claude Mythos Preview. Dit model maakt deel uit van ‘Project Glasswing’, een cybersecurity-samenwerking met grote techbedrijven zoals Nvidia, Google, Amazon, Apple en Microsoft. Het doel is om kwetsbaarheden in softwaresystemen automatisch op te sporen met minimale menselijke tussenkomst. Newton Cheng, cyberleider bij Anthropic, vertelde aan The Verge dat het model volgens interne tests beveiligingsproblemen heeft gevonden “in elk groot besturingssysteem en elke grote webbrowser”. Het model wordt voorlopig niet publiekelijk vrijgegeven vanwege veiligheidsoverwegingen en is alleen beschikbaar voor de launchpartners.
Wat dit betekent
Dit betekent dat de fundamentele software waar vrijwel elk bedrijf op draait – denk aan Windows, macOS, Chrome en Edge – grondiger en sneller gescand gaat worden op beveiligingslekken. Voor ondernemers vertaalt dit zich niet direct naar een nieuwe tool in hun dashboard, maar wel naar een verbeterde beveiliging van de tools die ze al gebruiken. Wanneer Microsoft een beveiligingsupdate uitbrengt voor Windows of Google een patch voor Chrome, is de kans groter dat kritieke lekken daarin al door AI zijn geïdentificeerd en opgelost. Het is een verschuiving van reactieve beveiliging (patchen na een hack) naar proactieve beveiliging (lekken dichten voordat ze misbruikt worden), aangedreven door de leveranciers zelf.
Hoe je dit kunt toepassen
De praktische toepassing hangt af van jouw situatie. Je kunt Project Glasswing niet direct inkopen of gebruiken. De impact voor jouw bedrijf zit ’m in hoe je omgaat met de software-updates en beveiligingspraktijken die hierdoor mogelijk verbeteren.
Als je een klein team aanstuurt met standaard software… dan is je belangrijkste actie om automatische updates aan te zetten. Deze AI-gestuurde scans bij grote leveranciers zullen resulteren in meer en betere patches. Zorg ervoor dat alle bedrijfslaptops, telefoons en browsers zo zijn ingesteld dat ze updates direct ontvangen en installeren. Dit minimaliseert het tijdvenster waarin bekende lekken ongedekt blijven.
Als je samenwerkt met softwareleveranciers of ontwikkelaars… dan kun je in gesprek gaan over hun security practices. Vraag of zij gebruikmaken van geavanceerde, geautomatiseerde scanningtools (zoals de technologie achter Project Glasswing) in hun ontwikkel- en testprocessen. Het kan een criterium worden bij het selecteren van nieuwe SaaS-tools of development partners.
Als je verantwoordelijk bent voor IT-beveiliging in een groter MKB… dan versterkt dit nieuws het belang van een ‘supply chain security’-benadering. Je beveiliging is afhankelijk van je leveranciers. Overweeg om een overzicht te maken van al je kritieke softwareleveranciers (cloud, OS, browser, kernapps) en hun beveiligingsupdatebeleid. Stel in je contracten of service level agreements (SLA’s) eisen over de snelheid van patchen na de ontdekking van kwetsbaarheden.
Bron: The Verge