Najważniejszą konsekwencją z perspektywy bezpieczeństwa IT jest kompresja czasu. Jeżeli rzeczywiście możliwe jest przejście od wykrycia podatności do działającego exploita w ciągu minut, to załamuje się dotychczasowa logika zarządzania podatnościami. Model „discover–patch–deploy” zakłada istnienie opóźnienia między odkryciem luki a jej praktycznym wykorzystaniem. W nowym środowisku to opóźnienie przestaje istnieć. Podatność staje się natychmiast operacyjna – a więc w praktyce równoważna incydentowi.
Claude Mythos z perspektywy bezpieczeństwa IT
To prowadzi do kilku głębokich zmian, które szczególnie silnie uderzają w branże związane z danymi wrażliwymi, m.in. sektor finansowy. Po pierwsze, zmienia się ekonomika ataku. Koszt znalezienia i wykorzystania podatności spada niemal do zera, a to oznacza przejście od ataków selektywnych do masowych i równoległych. Zamiast pojedynczych, wyrafinowanych operacji pojawia się model „continuous exploitation” – ciągłego, zautomatyzowanego testowania systemów pod kątem słabości i ich natychmiastowego wykorzystania.
Po drugie, zanika tradycyjna przewaga kompetencyjna. Dotąd najbardziej zaawansowane ataki były domeną wąskiej grupy wyspecjalizowanych aktorów. Narzędzia oparte o AI demokratyzują te zdolności – różnica między przeciętnym a zaawansowanym napastnikiem zaczyna się zacierać. To fundamentalnie zwiększa powierzchnię zagrożeń, zwłaszcza dla instytucji o dużej ekspozycji, takich jak banki czy infrastruktura płatnicza.
Po trzecie, rośnie znaczenie podatności wcześniej uznawanych za „niewykorzystywalne”. AI potrafi łączyć pozornie nieistotne błędy w złożone łańcuchy ataku. W efekcie klasyfikacja ryzyka oparta na CVSS czy podobnych metrykach przestaje być wystarczająca – niskie lub średnie podatności mogą stać się elementem krytycznego scenariusza exploitacyjnego.
Należy redefiniować strategię bezpieczeństwa w kilku kluczowych obszarach
W tym kontekście reakcje instytucji takich jak Bank of England, U.S. Department of the Treasury, Barclays czy debata na forum International Monetary Fund są w pełni uzasadnione. Sektor finansowy operuje na systemach o wysokim stopniu złożoności i silnych powiązaniach między komponentami. To środowisko, w którym efekt kaskadowy – od pojedynczej podatności do zakłócenia całej usługi – jest szczególnie prawdopodobny.
W praktyce oznacza to konieczność redefinicji strategii bezpieczeństwa w kilku kluczowych obszarach.
Paradoks tej sytuacji polega na tym, że te same narzędzia AI, które przyspieszają znajdowanie podatności, są już powszechnie używane przez zespoły developerskie do pisania kodu. W Scalo pracujemy z narzędziami takimi jak Copilot czy Claude Code na co dzień. To oznacza, że kod generowany z pomocą AI musi być przeglądany przez inżynierów ze świadomością, że podatności mogą być subtelniejsze i trudniejsze do wykrycia ludzkim okiem, bo AI generuje kod szybciej niż człowiek jest w stanie go zrozumieć w całości. Security code review przestaje być formalnością, a staje się jedną z ważniejszych linii obrony.
Claude Mythos jest więc mniej konkretnym produktem, a bardziej sygnałem nadchodzącej rzeczywistości - świata, w którym każda luka może zostać wykorzystana niemal natychmiast. Dla sektora finansowego oznacza to konieczność przejścia od modelu bezpieczeństwa opartego na czasie reakcji do modelu opartego na ciągłej, wbudowanej odporności.
Jakub Stadnik, Head of Delivery w Scalo
