Executando verificação de segurança...
Em resposta a Anthropic anuncia Project Glasswing
1
clacerda

E o fato de que cada zero-day real em sistema operacional ou browser vale literalmente milhões de dólares no mercado cinza. Esse é o verdadeiro choque econômico da coisa.

E talvez seja também uma resposta para a pergunta que muita gente ainda não quer encarar: “mas vai passar do nível humano?"

Fomos de "será que a AGI chegou?" para inteligência sobrehumana em menos de seis meses. E não, não vai diminuir a velocidade de evolução. So aumenta. A história acabou. A maioria ainda não percebeu. Provavelmente ainda vai levar uma década até a maioria das pessoas perceber.

Pode anotar desde já isso é maior do que a "escrita" e o tal do mythos ja prova que IA NÃO é uma ferramenta. É o fim da soberania humana sobre a linguagem. E portando (automaticamente) da realidade. Estamos diantes de algo tão brutal como a invenção da "escrita". Essa é a única anologia que faz sentido.

Carregando publicação patrocinada...
2
Silva97

Não vale isso tudo não. Uma escalação de privilégios no Linux, por exemplo, só vale cerca de 100k dólares. Nem perto de "milhões".

Fomos de "será que a AGI chegou?" para inteligência sobrehumana em menos de seis meses.

Não tem nada de sobrehumano nisso, nem perto de ser AGI também. IA é boa pra SAST e todo mundo sabe disso, mas humanos fazem muito mais além de SAST.

Achar que IA consegue substituir um profissional de segurança só porque IA faz SAST, é tipo achar que um robô consegue substituir um mecânico de automóveis só porque o robô consegue trocar pneu. O robô pode até trocar pneu muito mais rápido que qualquer mecânico, mas mecânico não faz só isso.

Pode anotar desde já isso é maior do que a "escrita" e o tal do mythos ja prova que IA NÃO é uma ferramenta.

O Mythos é só uma ferramenta de SAST com asteróides. É literalmente só isso.

Você tá muito enviesado por marketing e hype, e não é de hoje.

1
clacerda
  • Autor
    Autor

Não é de hoje que eu digo que isso é diferente e cada mês que passa, a realidade corre na direção do que parecia exagero.

Não, eu não estou enviesado por hype. Você é que está mal informado sobre o que está sendo discutido.

Não tem nada a ver com SAST. Estamos falando de execução autônoma da cadeia de ataque, inclusive iteração com dentro de disassembler e tarefas de engenharia social, desde de enumeração de alvos até o comprometimento de forma autônoma. Reduzir isso a “SAST com esteróides” é simplesmente errar o objeto.

Pode discordar do hype. Mas, para discordar, primeiro precisa entender a coisa.

1
Silva97

Você também disse que zero-day em SO valia milhões de dólares e claramente isso foi "Fonte: Arial 12", pois eu conheço os preços reais e sei que não chega nem perto de milhões.

Agora você precisa se perguntar se realmente "entende a coisa" ou está apenas tirando tudo da cabeça.

Nem mesmo a Anthropic, que tá fazendo marketing pra caramba em cima disso, fez as afirmações que você fez. Exemplo: você disse que o Mythos era "sobrehumano" quando a própria Anthropic afirmou que só performava melhor do que a maioria dos profissionais, mas os melhores profissionais de segurança ainda performavam melhor.

Para algo ser "sobrehumano" mesmo, humano nenhum conseguiria fazer melhor. A própria Anthropic afirmou não ser o caso.

Você não está apenas enviesado pelo hype dos outros, você tá criando seu próprio hype imaginário que ultrapassa o hype da empresa que já tá hypando pra ganhar engajamento e dinheiro em cima disso.

Seu hype é mais exagerado do que o hype artificial movimetado por marketing.

0
clacerda
  • Autor
    Autor

fazer o que os melhores seres humanos fazem, só que 24/7 e 100x mais rápido pra mim é sobre humano. sobre preços é so olhar no zerodium rs.

1
Silva97

A Zerodium não divulga preços publicamente já tem muito tempo. E mesmo quando divulgava, a Zerodium era uma das que pagavam menos. Existem várias outras que pagam mais e, mesmo assim, não chega na casa dos "milhões de dólares" igual você alegou.

Repito a sugestão para parar e pensar se você realmente sabe do que está falando.

1
clacerda
  • Autor
    Autor

E mesmo assim os valores chegavam a US$ 2,5 milhões. Eu sei do que estou falando. Pode discordar da interpretação, mas não precisa fingir que eu inventei a ordem de grandeza de quanto vale um exploit de altissimo nível em infraestrutura crítica.

1
Silva97

E tem valores que chegam até 7~10 milhões de dólares. Mas o que você disse, foi:

E o fato de que cada zero-day real em sistema operacional ou browser vale literalmente milhões de dólares no mercado cinza.

Cada zero-day? Não. O que vale na casa dos milhões de dólares são exploits full-chain. Reportando zero-day ou até mesmo vendendo exploit para um zero-day, você nunca vai chegar nem perto de conseguir "milhões de dólares".

Um exploit full-chain é diferente: Não é um zero-day, são vários. Explorados em cadeia de forma automatizada pelo exploit.

Um full-chain precisa explorar desde uma vulnerabilidade na superfície de ataque até a escalação de privilégios. Tudo automático.

Só para dar um exemplo real, a Advance Security Solutions paga 80k dólares para um Linux LPE e 10 milhões de dólares para um full-chain Linux.

Eu sei do que estou falando.

Sabe mesmo ou só viu algo superficial sem entender direito o que viu e imaginou todo o resto?

0
clacerda
  • Autor
    Autor

Ótimo. Então o ponto fica simples: eu realmente escrevi uma coisa e tinha outra na cabeça. Não é qualquer zero-day que vale milhões; o que entra nessa ordem de grandeza são os casos extremos. Para mim isso estava implícito na discussão o tempo inteiro, rs. Mas, de todo modo, obrigado pela correção.