Godine 2024. istraživači sa Sveučilišta Illinois otkrio je da GPT-4, kada mu se pruži zajednički opis ranjivosti i izloženosti (CVE), može autonomno iskoristiti 87% odabranog jednodnevnog skupa podataka od 15 ranjivosti. Bez opisa, mogao bi iskoristiti samo 7%. To je industriji omogućilo “marginu sigurnosti” jer iako je umjetna inteligencija mogla iskoristiti poznate ranjivosti, nije ih mogla otkriti.
Međutim, 7. travnja god. Anthropic najavio da je Claude Mythos Preview zatvorio tu marginu, s modelom koji je autonomno otkrio tisuće ranjivosti nultog dana u glavnim operativnim sustavima i preglednicima. Zasebno, Mythos je postigao 83,1% na CyberGym mjerilu reprodukcije ranjivosti. U jednoj kampanji koja je ciljala OpenBSD kroz 1000 pokretanja skele, ukupni trošak izračuna bio je manji od 20 000 USD.
Vremenski okviri eksploatacije se ruše. Langflowov CVE-2026-33017 (CVSS 9.8) bio je iskorišten 20 sati nakon otkrivanja bez javnog dokaza koncepta. Marimov CVE-2026-39987 (CVSS 9.3) bio je pogodak za 9 sati i 41 minutu.
Obrambena infrastruktura na koju se većina organizacija oslanja nije bila dizajnirana za to. Rapid7-ovo izvješće o prijetnjama za 2026 navodi da je medijan vremena od objave CVE-a do CISA-inog popisa poznatih iskorištenih ranjivosti (KEV) pet dana. Googleov M-Trends 2026 izvješće je otkrilo da se iskorištavanje događa prije nego što se zakrpa uopće objavi. Kada je Langflowov savjet objavljen, prvi exploit stigao je za 20 sati. Kada je Marimo savjet objavljen, trebalo je manje od 10 sati.
Pretpostavka da je vaš prozor zakrpe siguran jer iskorištavanje zahtijeva vrijeme više nije istinita. Evo vaših gradivnih blokova.
Sadržaj objave
Zamijenite određivanje prioriteta samo za CVSS troslojnim filtrom
Većina programa za upravljanje ranjivostima i dalje daje prioritet samo CVSS rezultatu. CVSS kvantificira “teoretsku” ozbiljnost ranjivosti bez razmatranja iskorištava li se ranjivost u divljini ili koliko brzo bi je netko mogao naoružati. Ranjivost CVSS 8.8 s poviješću aktivnog iskorištavanja (poput Dockerove CVE-2026-34040) dobiva niži prioritet od ranjivosti CVSS 9.8 koja se možda nikad neće iskoristiti u prirodi.
A nedavna studija potvrđen u odnosu na 28.377 ranjivosti iz stvarnog svijeta nudi konkretnu zamjenu: troslojno stablo odlučivanja koje uključuje CISA KEV status, rezultate sustava bodovanja za predviđanje eksploatacije (EPSS) i CVSS, čime se formira jedinstveni filtar za određivanje prioriteta.
Troslojni filtar prioriteta ranjivosti
|
Sloj |
Izvor podataka |
Prag |
Akcijski |
SLA |
|
1. Aktivno iskorištavanje |
CISA KEV katalog |
Na popisu |
Odmah krpanje |
sati |
|
2. Predviđena eksploatacija |
EPSS preko FIRST.org |
Rezultat ≥ 0,088 |
Eskalirajte na cjevovod razine 0 |
24 sata |
|
3. Osnovna vrijednost ozbiljnosti |
CVSS preko NVD-a |
Rezultat ≥ 7,0 |
Tipična sanacija |
Po politici |
Potvrđeni rezultat: 18x povećanje učinkovitosti, 85,6% pokrivenost iskorištenih ranjivosti, ~95% smanjenje opterećenja hitnih sanacija. Sva tri izvora podataka su otvoreni i besplatni.
Opisana integracija je potpuno automatibilna. Moguće je izraditi skriptu za postavljanje upita CISA KEV API-ju, EPSS API-ju s FIRST.org i NVDi neka se ta skripta pokrene prema vašem popisu sredstava za svaki objavljeni CVE. Čovjek u ovom procesu trebao bi ostati u petlji kao odobravatelj, ali ne kao okidač.
Zatvorite prazninu u autorizaciji agenta
Brzo stvaranje eksploatacija ne mijenja samo način na koji se zakrpama daje prioritet, već i način na koji se konfiguriraju kontrole za sve sustave vođene agentima koji sada posjeduju povlaštene vjerodajnice. Vaša pravila autorizacije nisu procijenjena u odnosu na ponašanje AI agenata, a to je sada mjerljiv rizik. CVE-2026-34040 pokazao je da Dockerova arhitektura dodatka za autorizaciju tiho zaobilazi svaki dodatak kada tijelo zahtjeva premaši 1 MB. Uobičajeni AuthZ dodaci (OPA, Casbin, Prisma Cloud) nisu svjesni ove vrste zaobilaženja, koje se događa u Dockerovom međuwareu prije nego što zahtjev stigne do dodatka.
Kada Cyera je pokazao ovu ranjivostpokazali su da infrastruktura za otklanjanje pogrešaka agenta umjetne inteligencije može zaključiti zaobilaznu putanju dok dovršava legitiman zadatak, bez ikakvih uputa za iskorištavanje bilo čega.
Internet Engineering Task Force (IETF) radi na modelima autorizacije za agente. Dokument nacrt-klrc-aiagent-auth-01koji su u ožujku objavili sudionici iz AWS-a, Zscalera, Ping Identityja i OpenAI-a, predlaže korištenje trenutnog Secure Production Identity Framework for Everyone (SPIFFE) i OAuth 2.0 za AI agente za dobivanje dinamički osiguranih i kratkotrajnih vjerodajnica.
Zasebno, IETF Nacrt protokola identiteta agenta (draft-prakash-aip-00) izvještava da od oko 2000 ispitanih poslužitelja protokola konteksta modela (MCP), nijedan nije imao autentifikaciju.
Ali ti su standardi mjesecima ili godinama udaljeni od implementacije. Za sada, sigurnosni timovi moraju proaktivno uključiti testne scenarije na razini agenta za sve granice autorizacije, kao što su preveliki zahtjevi, burst učestalost i eskalacija privilegiranih zahtjeva u više koraka.
Mapirajte radijus eksplozije vaše vjerodajnice
u a istraživanje koje je proveo CSA/Zenity i objavljen 16. travnja, 53% organizacija reklo je da je već vidjelo slučajeve u kojima su agenti AI prekoračili svoja predviđena dopuštenja, a 47% je doživjelo sigurnosni incident koji je uključivao agenta.
Kada alati za izgradnju umjetne inteligencije kao što su Flowise (CVE-2025-59528, CVSS 10.0), Langflow ili n8n postaju ugroženi, radijus eksplozije proteže se daleko izvan hosta. Ovi alati sadrže API ključeve za granične modele, vjerodajnice baze podataka, vektorske tokene za pohranu i OAuth tokene za poslovne sustave. Kompromitirano računalo AI buildera nije samo proboj jednog sustava. To je prikupljanje vjerodajnica koje otključavaju autentificirani pristup svakoj povezanoj usluzi.
Bez mapa ovisnosti vjerodajnica za svaki host alata AI, odgovor na incident za kompromitaciju agenta je nagađanje. Za svaki primjer dokumentirajte svaku vjerodajnicu, opseg njenog pristupa i relevantan proces rotacije vjerodajnice. Također započnite migraciju statičkih API ključeva na kratkotrajne tokene gdje to dopuštaju nizvodne usluge.
Pet akcija za ovo tromjesečje
1. Postavite troslojni KEV-EPSS-CVSS filter
Zamijenite određivanje prioriteta samo za CVSS prema gornjoj tablici. Automatizirajte prikupljanje podataka iz sva tri API-ja kao dio planirane skripte prema vašem popisu sredstava. Željeni rezultat: 18 puta učinkovitiji, 85,6% pokrivenost iskorištenih ranjivosti, 95% smanjenje opterećenja hitnih sanacija.
2. Implementirajte krpanje vođeno događajima za Tier 0 usluge.
Odredite koje usluge spadaju u kritičnu razinu izloženosti: Usluge koje su izravno izložene korisnicima interneta, hostovima AI graditelja i kontrolnoj ravnini orkestracije spremnika. Pokrenite zakrpe vođene događajima na CVE publikaciji umjesto da čekate sljedeći period održavanja za ovu razinu.
Cilj: postaviti zakrpu na Canary unutar četiri sata nakon što se CVE proglasi kritičnim. Upotrijebite CISA KEV i EPSS feedove za pokretanje krpanja vođenog događajima. U situacijama u kojima je nemoguće ispuniti cilj četverosatnog krpanja zbog naslijeđenih ovisnosti, prozora za zamrzavanje promjena ili rizika vraćanja, odmah primijenite kompenzacijske kontrole kao što je uklanjanje izloženosti interneta ranjivoj usluzi, rotiranje vjerodajnica za ranjivu uslugu, onemogućavanje pogođene funkcionalnosti usluge (ako je primjenjivo) i identificiranje vlasnika iznimke za izloženost dok se zakrpa ne može implementirati.
Nije prihvatljivo dopustiti neograničenu izloženost tijekom duljeg razdoblja dok se čeka razdoblje održavanja.
3. Testirajte granice autorizacije na razini agenta.
Stvorite testne slučajeve za svaki API s kojim AI agenti mogu komunicirati putem AuthZ pravila. Točnije, uključite testne slučajeve za zahtjeve koji premašuju veličinu tijela od 1 MB, 5 MB i 10 MB. To uključuje testne slučajeve za burst rate > 100 zahtjeva u sekundi i testne slučajeve za neuobičajene kombinacije parametara (privilegirane zastavice, postavljanje hosta, dodaci mogućnostima). Dodatno, zakrpa za Docker Engine 29.3.1 za popravak CVE-2026-34040.
4. Mapiranje radijusa eksplozije vjerodajnice za sve hostove AI graditelja.
Dokumentirajte svaku vjerodajnicu za svaku instancu Langflow, Flowise, n8n i prilagođeni AI cjevovod. Klasificirajte svaku vjerodajnicu prema životnom vijeku (statički ključ u odnosu na kratkotrajni token). Odredite čemu svaka vjerodajnica može pristupiti. Postavite upozorenja za nepravilan IP ili identitet za bilo koji pristup vjerodajnicama.
5. Shadow AI otkrivanje skeniranja za ovaj tjedan.
Prema CSA podacima, postoji više od 50% šanse da su vaši agenti premašili svoje očekivane granice. Provjerite svoje sigurnosne informacije i upravljanje događajima (SIEM) i alate za nadzor mreže za komunikaciju sa zadanim priključcima AI buildera: Langflow 7860, Flowise 3000 i n8n 5678. Sve neovlaštene instance su nenadzirana površina za napad.
Za ponijeti
Pojavljuju se AI agenti, i ttijela za standardizaciju odgovaraju. IETF ima više nacrta povezanih s autentifikacijom i autorizacijom agenta. The Koalicija za sigurnu umjetnu inteligenciju objavila je svoju Sigurnosna taksonomija MCP-a i Načela Secure-by-Design.
Ali ti se standardi kreću brzinom standardnog tijela, a iskoristivi prozor sada se mjeri u satima. Organizacije koje implementiraju troslojni filtar i krpanje potaknuto događajima u ovom će kvartalu imati mjerljivo smanjenje izloženosti. Oni koji čekaju pokrenut će cikluse zakrpa temeljene na kalendaru protiv protivnika koji djeluje za manje od 20 sati.
Nik Kale je glavni inženjer specijaliziran za poslovne AI platforme i sigurnost