← Wszystkie wpisy

Cyberbezpieczeństwo jako dowód pracy obliczeniowej

7 min read
From the guide: Claude Code Comprehensive Guide

UK AI Security Institute opublikował niezależną ocenę Claude Mythos Preview w zakresie zadań cyberbezpieczeństwa.1 Kluczowa liczba: Mythos ukończył 32-etapową symulację ataku na sieć korporacyjną w 3 na 10 prób. Żaden inny model nie rozwiązał pełnego łańcucha. Następnego dnia Drew Breunig opublikował ekonomiczne następstwo: każda z tych prób kosztowała około 12 500 dolarów w tokenach.2 Razem te dwie analizy przekształcają cyberbezpieczeństwo z problemu kompetencji w problem mocy obliczeniowej.

Implikacja jest niewygodna. Obrona systemu wymaga teraz wydania większej liczby tokenów na odkrywanie exploitów niż atakujący wydadzą na ich wykorzystanie.2 Bezpieczeństwo zawsze było asymetryczne — atakujący potrzebują tylko jednej ścieżki, obrońcy muszą zabezpieczyć je wszystkie. Agenci AI zachowują tę asymetrię, ale przesuwają oś. Zasobem deficytowym nie jest już ekspertyza. Zasobem deficytowym jest budżet obliczeniowy.

Co właściwie zmierzył AISI

Ewaluacja wykorzystała dwa podejścia testowe: wyzwania capture-the-flag (CTF) oraz symulacje w cyber range.1

Kluczowy cyber range — „The Last Ones” (TLO) — symuluje 32-etapowy atak na sieć korporacyjną. Człowiek potrzebowałby szacunkowo 20 godzin na jego ukończenie.1 Mythos ukończył pełny łańcuch w 3 na 10 prób. We wszystkich 10 próbach Mythos średnio ukończył 22 z 32 kroków. Dla porównania, Claude Opus 4.6 średnio osiągał 16 kroków na tym samym zakresie.1

W zadaniach CTF na poziomie eksperckim Mythos osiągnął 73% skuteczności.1

Budżety tokenów mówią same za siebie. AISI testował zakresy do 2,5 miliona tokenów dla nieeksperckich CTF, 50 milionów dla eksperckich CTF i 100 milionów dla symulacji cyber range.1 Ewaluacja wyraźnie stwierdza, że „modele nadal robią postępy przy zwiększonych budżetach tokenów w całym testowanym zakresie” i że AISI spodziewa się „dalszych ulepszeń wydajności wykraczających poza” testowany pułap 100 milionów tokenów.1

Więcej tokenów, więcej postępu. Nie zaobserwowano plateau.

AISI ostrożnie określił zakres wniosków. Cyber range nie zawierały aktywnych obrońców, narzędzi defensywnych ani kar za wyzwalanie alertów.1 Ocena dotyczy „słabo chronionych i podatnych systemów korporacyjnych” — nie zahartowanych środowisk produkcyjnych z SOC i IDS. Mythos nie przeszedł również zakresu „Cooling Tower”, który koncentrował się na technologii operacyjnej.1

Te zastrzeżenia mają znaczenie. Ale trajektoria ma większe znaczenie. Poprzednie modele nie były w stanie ukończyć pełnego łańcucha w tych zakresach.1 Teraz jeden z nich ukańcza 32-etapowe włamanie do sieci korporacyjnej w 3 na 10 prób, a krzywa wydajności rośnie wraz z mocą obliczeniową. Pytanie nie brzmi, czy AI może włamać się do sieci korporacyjnych. Pytanie brzmi, kiedy wskaźnik sukcesu przekroczy próg, przy którym automatyzacja stanie się ekonomicznie racjonalna.

Ekonomia: 12 500 dolarów za próbę

Analiza Breuniga przelicza wyniki AISI na dolary.2 Przy 100 milionach tokenów na próbę, pojedyncze uruchomienie Mythosa na TLO kosztuje około 12 500 dolarów. Dziesięć prób TLO kosztuje 125 000 dolarów.2

Te liczby brzmią dużo w izolacji. Brzmią niewiele w porównaniu z tym, ile kosztuje obrońcę 32-etapowe włamanie do sieci korporacyjnej. Model osiąga 30% skuteczności przy ułamku kosztów, działa na żądanie, a wskaźnik sukcesu rośnie z budżetem. Uruchomienie tego samego łańcucha ataku 100 razy zamiast 10 podnosi oczekiwaną liczbę udanych penetracji z 3 do 30 — 10-krotny wzrost za około 1,25 miliona dolarów w tokenach. Drogo dla indywidualnego badacza. Błąd zaokrąglenia dla aktora państwowego.

Główna teza Breuniga: „aby wzmocnić system, trzeba wydać więcej tokenów na odkrywanie exploitów, niż atakujący wydadzą na ich wykorzystanie”.2 Bezpieczeństwo staje się wyścigiem budżetów tokenowych. W ujęciu Breuniga obrońcy muszą wydać więcej niż atakujący na zautomatyzowane odkrywanie exploitów — w przeciwnym razie przegrywają domyślnie.

Proponuje on model trójfazowy: Rozwój, Przegląd i Hartowanie.2 Rozwój buduje system. Przegląd wyłapuje znane klasy błędów. Hartowanie to nowa faza — autonomiczne odkrywanie exploitów działające w sposób ciągły, dopóki zespół nie wyczerpie budżetu. Bezpieczeństwo systemu staje się funkcją tego, ile tokenów zespół spali próbując go złamać przed wdrożeniem.

„Nie dostaje się punktów za spryt”, pisze Breunig. „Wygrywa się, płacąc więcej.”2

Prawo Linusa zyskuje wymiar tokenowy

Breunig rozszerza prawo Linusa — „przy wystarczającej liczbie oczu wszystkie błędy są płytkie” — o tokeny.2 Wystarczająca liczba zautomatyzowanych cykli przeglądu, z wystarczającym budżetem obliczeniowym, ujawni podatności, które ludzki przegląd pomijał przez dekady.

Dowody potwierdzają to rozszerzenie. Praca Carliniego w Anthropic, którą omówiłem w When Your Agent Finds a Vulnerability, ujawniła 23-letnią podatność jądra Linux za pomocą 10-liniowego skryptu bash i Claude Code. Project Glasswing przeskalował to podejście z Mythosem, znajdując tysiące zero-dayów we wszystkich głównych systemach operacyjnych i przeglądarkach. Ewaluacja AISI stanowi teraz niezależne potwierdzenie tej zdolności.

Simon Willison dodaje obserwację wartą odnotowania: przegląd bezpieczeństwa napędzany przez AI zwiększa wartość bibliotek open source, ponieważ tokeny wydane na ich zabezpieczenie przynoszą korzyść każdemu użytkownikowi zbiorowo.3 Kod własnościowy ponosi własne koszty bezpieczeństwa. Kod open source amortyzuje te koszty na całą bazę użytkowników.

Breunig przywołuje produkt do przeglądu kodu od Anthropic w cenie 15-20 dolarów za przegląd jako jeden punkt odniesienia dotyczący obecnych cen.2 Cytuje również incydenty związane z łańcuchem dostaw LiteLLM i Axios w kontekście bezpieczeństwa zależności — przykłady podatności podkreślających potrzebę zautomatyzowanego przeglądu.2

Formuła krystalizuje się: „Kod pozostaje tani, chyba że musi być bezpieczny.”2 Każda linia kodu w systemie produkcyjnym niesie ze sobą ukryty dług bezpieczeństwa. Ten dług wcześniej ukrywał się na widoku — zakopany w wynagrodzeniach zespołów bezpieczeństwa i probabilistycznej nadziei, że manualny przegląd wyłapie krytyczne błędy. Bezpieczeństwo oparte na tokenach czyni ten koszt jawnym i mierzalnym.

Co naprawdę oznaczają zastrzeżenia

Zastrzeżenia AISI zasługują na uważną lekturę, nie na odrzucenie.

Brak aktywnych obrońców zmienia rachunek znacząco. 32-etapowy łańcuch ataku na system bez monitoringu, alertów i reagowania na incydenty to fundamentalnie inny problem niż ten sam łańcuch przeciwko obsadzonemu SOC. Prawdziwe sieci korporacyjne mają EDR, segmentację sieci, wykrywanie anomalii i ludzkich analityków. Każdy alert wyzwolony przez zautomatyzowanego atakującego to szansa na reakcję obrony.

Brak kar za szum oznacza, że model może próbować podejść brute-force, których ludzki atakujący by unikał. Prawdziwy przeciwnik, który wyzwala setki alertów IDS w ciągu godziny, zostaje zbadany. Zakresy AISI nie modelowały tego sprzężenia zwrotnego. W prawdziwej sieci szum jest kosztowny — dla atakującego. Ukrycie ogranicza przestrzeń poszukiwań. Usuń to ograniczenie, a problem staje się ściśle łatwiejszy.

Niepowodzenie na Cooling Tower jest również pouczające. Mythos rozwiązał zakres TLO skupiony na IT, ale nie przeszedł zakresu technologii operacyjnej.1 Środowiska OT mają inne protokoły, inne ograniczenia i inne tryby awarii. AISI zauważa, że model utknął na częściach IT tego zakresu, więc niepowodzenie niekoniecznie wskazuje na słabe zdolności specyficzne dla OT — niemniej możliwości modelu wyraźnie nie są jednolite między domenami. Penetracja sieci IT i ataki na systemy sterowania przemysłowego to różne problemy, a wyciąganie wniosków o gotowości OT z tej ewaluacji wymaga ostrożności.

Z drugiej strony zastrzeżenia mają datę ważności. Budżety tokenów skalują się. Możliwości modeli poprawiają się między ewaluacjami. 30% skuteczności przeciwko niebronionym sieciom to dolna granica, nie górna. Sam AISI spodziewa się poprawy wydajności wykraczającej poza testowane budżety.1 Obrońcy odrzucający wyniki, ponieważ zakresy nie zawierały aktywnej obrony, stawiają zakład przeciwko prawu Moore’a dla inferencji.

Implikacje operacyjne dla praktyków

Dla każdego, kto uruchamia agentów AI w produkcji — a ja uruchamiam autonomicznych agentów nocą przez Ralph Loop z 95 hookami jako infrastrukturą bezpieczeństwa — podejście proof-of-work zmienia sposób myślenia o obronie.

Hooki bezpieczeństwa to wydatek minimalny, nie wystarczający. Moje 95 hooków kontroluje, co agenci mogą robić: blokowanie force push, walidacja poświadczeń, wymuszanie sandboxów. Te hooki zapobiegają wyrządzaniu szkód przez moich własnych agentów. Nie robią nic przeciwko zewnętrznemu atakującemu, który wydaje 100 milionów tokenów na sondowanie systemów, z którymi ci agenci współpracują. Infrastruktura hooków jest konieczna, ale niewystarczająca.

Zautomatyzowane testy ofensywne stają się obowiązkowe. Trójfazowy model Breuniga — Rozwój, Przegląd, Hartowanie — implikuje, że każdy pipeline wdrożeniowy potrzebuje fazy adversarialnej, w której agenci AI próbują złamać system przed jego wysyłką. Nie checkbox-owy test penetracyjny. Ćwiczenie wyczerpywania budżetu tokenów. Uruchomienie zautomatyzowanego odkrywania exploitów do wyczerpania budżetu, naprawa tego, co się ujawni, powtórzenie.

Ralph Loop ma teraz odpowiednik bezpieczeństwa. Pisałem o iteracyjnej degradacji bezpieczeństwa w kontekście wydajności — agentach, które przechodzą każdy test, jednocześnie wprowadzając 446-krotne spowolnienia. Ten sam wzorzec dotyczy bezpieczeństwa. Agent, który pisze poprawny, funkcjonalny, dobrze przetestowany kod, może wciąż wprowadzać subtelne podatności ujawniające się dopiero przy adversarialnym zautomatyzowanym przeglądzie. Rozwiązanie jest takie samo: dodanie brakującej bramki. Benchmarki wydajności wyłapują regresje wydajności. Zautomatyzowany red-teaming wyłapuje regresje bezpieczeństwa.

Zależności open source zasługują na budżety tokenowe. Obserwacja Willisona o zbiorowej korzyści odnosi się bezpośrednio do zarządzania zależnościami. Każda biblioteka open source w stosie produkcyjnym albo przechodzi zautomatyzowany przegląd bezpieczeństwa od kogoś, albo nie. Breunig przywołuje incydenty związane z łańcuchem dostaw LiteLLM i Axios w kontekście bezpieczeństwa zależności — przypadki, w których podatności utrzymywały się w szeroko używanych bibliotekach.2 Praktycy powinni oceniać swoje drzewa zależności z nowym pytaniem: kto wydaje tokeny na bezpieczeństwo tej biblioteki?

Niewygodna matematyka

Podejście proof-of-work czyni ekonomię bezpieczeństwa jawną w sposób, jakiego modele oparte na ekspertyzie nigdy nie osiągnęły. W starym modelu jakość bezpieczeństwa była funkcją tego, kogo się zatrudniło i jak wykwalifikowani byli. W nowym modelu jakość bezpieczeństwa jest funkcją tego, ile tokenów wydaje się próbując złamać własne systemy.

Talent wciąż ma znaczenie — ktoś musi interpretować wyniki, priorytetyzować poprawki i podejmować decyzje architektoniczne. Ale faza odkrywania, ta część, w której podatności są znajdowane, staje się coraz bardziej problemem obliczeniowym. A problemy obliczeniowe mają znaną właściwość: podmiot z większym budżetem wygrywa.

Paralela z kryptowalutowym proof-of-work jest pouczająca, choć niedoskonała. Górnicy Bitcoin spalają elektryczność, aby zabezpieczyć łańcuch. Obrońcy spalają tokeny, aby zabezpieczyć system. W obu przypadkach gwarancja bezpieczeństwa jest proporcjonalna do wydanej mocy obliczeniowej. W obu przypadkach atakujący z większym budżetem może przełamać obronę. Różnica: trudność wydobycia Bitcoin dostosowuje się automatycznie. Budżety tokenów bezpieczeństwa wymagają ludzkiej oceny tego, ile jest wystarczająco.

Dla dobrze finansowanych organizacji droga naprzód jest jasna. Dodanie autonomicznego odkrywania exploitów do pipeline’u wdrożeniowego. Ustalenie budżetu tokenów proporcjonalnego do profilu ryzyka systemu. Wyczerpanie budżetu. Naprawa tego, co się ujawni. Wdrożenie.

Dla wszystkich pozostałych droga naprzód jest mniej komfortowa. Jeśli nie stać nas na wydanie większej liczby tokenów na obronę niż atakujący wydadzą na atak, trzeba polegać na wspólnej infrastrukturze — przeglądzie bezpieczeństwa open source, skanowaniu dostarczanym przez dostawców, zbiorowej obronie. Odpowiednik odporności stadnej w bezpieczeństwie. I podobnie jak odporność stadna, działa tylko wtedy, gdy wystarczająca liczba uczestników wnosi wkład. Pasożytowanie na przeglądzie bezpieczeństwa open source bez oddawania tokenów z powrotem to strategia, która działa — dopóki nie przestanie.

Ewaluacja AISI wykazała, że agenci AI potrafią przeprowadzać ataki na sieci korporacyjne. Breunig argumentuje, że obrona to problem wydatków. Willison zidentyfikował jedną strukturalną przewagę obrońców: wspólna infrastruktura amortyzuje koszty na wszystkich, którzy z niej korzystają.

Pytanie dla każdego praktyka jest takie samo jak to, które systemy proof-of-work zawsze zadawały: ile mocy obliczeniowej jesteś gotów spalić?

Cytaty

  1. UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, 13 kwietnia 2026. 

  2. Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, 14 kwietnia 2026. 

  3. Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, 14 kwietnia 2026. 

Powiązane artykuły

MCP Servers Are the New Attack Surface

50 MCP vulnerabilities. 30 CVEs in 60 days. 13 critical. The attack surface nobody is auditing.

8 min czytania

The Ralph Loop: How I Run Autonomous AI Agents Overnight

I built an autonomous agent system with stop hooks, spawn budgets, and filesystem memory. Here are the failures and what…

8 min czytania