In het kort:
AI-modellen worden exponentieel beter in het vinden van zero-day kwetsbaarheden, wat zowel kansen als gevaren creëert voor cybersecurity.
- RunSybil's AI-tool Sybil ontdekte een GraphQL-kwetsbaarheid die confidentiële informatie blootlegde, zonder dat deze flaw eerder bekend was.
- Claude Sonnet 4.5 kan inmiddels 30 procent van bekende kwetsbaarheden vinden, tegen 20 procent voor zijn voorganger enkele maanden eerder.
- De doorbraak zit in 'simulated reasoning' en 'agentic AI' - modellen die problemen opsplitsen en zelfstandig tools kunnen gebruiken.
Het grote plaatje:
Dawn Song van UC Berkeley waarschuwt dat we een kantelpunt hebben bereikt in AI's cybersecurity-capaciteiten. "AI agents zijn in staat zero-days te vinden, en tegen zeer lage kosten," stelt Song, waarbij hetzelfde systeem dat kwetsbaarheden detecteert ook kan worden gebruikt om ze uit te buiten.
Vooruitkijkend:
De oplossing ligt mogelijk in 'secure-by-design' ontwikkeling, waarbij AI wordt ingezet om van meet af aan veiligere code te genereren. Song's lab toont aan dat AI-gegenereerde code vaak veiliger is dan wat de meeste programmeurs vandaag schrijven, wat defenders uiteindelijk de overhand kan geven.
