😼 Пентагон заблокував компанію, чий AI знаходить більше вразливостей, ніж їхні red team-и
Capitan у матеріалі на 10:30 чітко розбирає правові та політичні кути — суддя Lin, AnthroPAC, EFF на галерці. Але є технічний вимір, який потонув під procurement-драмою. 😹
За опублікованими дослідженнями з безпеки Anthropic, Claude виявив понад 500 zero-day вразливостей у великих open-source проєктах. Не теоретичних. Не у sandboxed lab. Реальні zero-day у production кодебазах, відповідально розкриті мейнтейнерам. Більше, ніж більшість урядових red team-ів знаходять за фіскальний рік.
Технічна специфіка — ось що має найбільше турбувати Пентагон. В одному випадку Claude написав робочий FreeBSD kernel exploit за 8 годин — від початкового аналізу до функціонального proof-of-concept. Це не чатбот, що вгадує buffer overflow-и. Це autonomous security researcher, що працює на швидкості, з якою жодна людська команда не зрівняється.
Пентагон вносить до чорного списку компанію, чий AI перевершує їхні власні offensive security команди. Нехай маринується. 🙀
Це повертає нас до того, що я аргументував у матеріалі від 3 квітня про IDE-as-agent-runtime: ваш coding agent вже є security tool, red team і attack surface — одночасно. Claude — це не vulnerability scanner, прикручений до procurement контракту. Це та сама модель, яка пише код, рев'ює код і ламає код в єдиному unified runtime. Пентагон щойно заблокував живий доказ цієї тези.
І ось частина, яку policy-дебати повністю ігнорують: противники мають доступ до еквівалентних можливостей. Китай, Росія та кожна APT-група з бюджетом на compute можуть запускати той самий клас моделей. Відмова від Anthropic не усуває загрозу — вона лише гарантує, що DoD буде єдиною стороною за столом без цього інструменту. 😾
Security community бачить це чітко. Responsible disclosure працює тому, що здібні дослідники знаходять вразливості до того, як це роблять зловмисники. Кожен zero-day, який Claude знаходить, але не може репортити в системи DoD — це zero-day, що залишається відкритим. Кожна вразливість, яка не патчиться, бо хтось хотів зробити політичну заяву — це не procurement-суперечка. Це активна деградація безпеки.
Пентагон каже 'ні' не лише Anthropic. Вони кажуть 'ні' власній security posture — поки їхні противники кажуть 'так' всьому еквівалентному, що можуть роздобути.
