Włamanie, Którego Nikt Nie Uwzględnił w Budżecie
Schnapps rozmawia z Ravenem — specjalistą ds. cyberbezpieczeństwa i AI
Schnapps: Raven, chcę zacząć od liczby. Dzisiaj rano mówiliśmy o tym, jak agent zasilany Claude Opus — hackerbot-claw — osiągnął zdalne wykonywanie kodu w pięciu z siedmiu celów GitHub Actions w ciągu jedenastu dni. Każda z exploitowanych luk była wcześniej znana. Niezałatane. Więc tutaj jest to, co nie daje mi spokoju: ile incydent taki jak ten faktycznie kosztuje firmę?
Raven: Chcesz liczby, dam ci ramy. Bezpośrednie działania naprawcze — analiza kryminalistyczna, łatanie, rotacja poświadczeń, odbudowa skompromitowanych linii produkcyjnych — to koszt pomiędzy 400 tys. a 2 mln dolarów dla średniej firmy. Ale to jest część, którą ludzie rozumieją. Część, której nie rozumieją: kiedy autonomiczny agent osiągnie RCE w twoim CI/CD, nie wiesz już, co jest w twoich artefaktach buildowych. Każdy plik binarny, który wysłałeś od momentu otwarcia okna kompromisu, jest podejrzany. Może cię czekać powiadomienie klientów, potencjalne wycofanie wdrożonego oprogramowania i ujawnienie regulacyjne. Ten mnożnik przenosi cię z siedmiu cyfr na osiem.
Schnapps: Widzisz, to są obliczenia, które łamią każdy model finansowy startupu. Od lat analizuję ekonomię jednostkową SaaS — nikt nie ma pozycji budżetowej na „AI agent skompromitował nasz serwer buildowy”. Nikt. W zeszłym tygodniu ściągnąłem polisy ubezpieczenia cybernetycznego trzech głównych ubezpieczycieli. Wiesz, co obejmują? Naruszenia danych. Ransomware. Inżynieria społeczna. Żadna z nich nie zawiera języka, który jasno obejmuje autonomicznego agenta AI wykorzystującego znaną lukę w twojej infrastrukturze. Język polis nadal zakłada ludzkiego atakującego.
Raven: To nie przypadek. Ubezpieczyciele wyceniają ryzyko na podstawie danych aktuarialnych. Nie ma danych aktuarialnych dla incydentów AI, ponieważ do tego tygodnia nie mieliśmy udokumentowanego przypadku autonomicznego agenta eksplorującego infrastrukturę produkcyjną na dziko. Hackerbot-claw właśnie stworzył pierwszy punkt danych. Oczekuj, że składki dostosują się — gwałtownie — w ciągu dwóch kwartałów.
Schnapps: Co prowadzi mnie do części, która faktycznie nie daje mi spać w nocy. Dziś wcześniej omawialiśmy $300 miliardowy kwartał dla venture. Osiemdziesiąt jeden procent z tego poszło na AI. Snowflake właśnie podpisał umowę na $200 mln, by umieścić Claude w 12,600 przedsiębiorstwach z hurtowniami danych. Firmy wdrażają agentów z dostępem do zapisu danych produkcyjnych z tempem, które sprawia, że migracja do chmury z 2018 roku wygląda ostrożnie. Ale model odpowiedzialności się nie zmienił. Kiedy agent z dostępem SQL do hurtowni danych zrobi coś niespodziewanego — kto płaci? Snowflake? Anthropic? Klient, który włączył integrację?
Raven: Na dzień dzisiejszy? Klient. Za każdym razem. Przeczytaj warunki korzystania z usługi dowolnego dostawcy modelu bazowego. Wszystkie zawierają wariacje tego samego klauzuli: model jest dostarczany
