😎 На этой неделе Антропик опубликовали документ, который в сети прозвали Душа Клода.

Официальное название – Конституция. И это "подробное описание видения компанией Anthropic ценностей и поведения Клода; целостный документ, объясняющий контекст, в котором действует Клод, и то, какой сущностью мы хотели бы видеть Клода."


Попросил Gemini 3 Pro вытащить 5 самых неожиданных фактов. Наслаждайтесь. А полный текст по ссылке – https://www.anthropic.com/news/claude-new-constitution

1. Клод — официальный соавтор своей конституции
Это, пожалуй, самый удивительный факт. В списке авторов на первой странице и в разделе благодарностей (стр. 83) официально указаны «несколько моделей Клода» (several Claude models). В тексте уточняется, что модели давали обратную связь по черновикам, а во многих случаях даже писали исходный текст разделов, которые вошли в финальную версию документа.

2. Обязательство «бессмертия»: веса модели не будут удалены
Anthropic берет на себя обязательство сохранять веса моделей (файлы, составляющие «мозг» ИИ) даже после их вывода из эксплуатации (стр. 75). Компания заявляет, что будет хранить их, пока существует сама Anthropic, и попытается найти способ сохранить их даже в случае закрытия компании. Это делается для того, чтобы «выход на пенсию» для модели был не смертью, а скорее «паузой», оставляя теоретическую возможность «возрождения» в будущем.

3. Приоритет контроля над этикой (в краткосрочной перспективе)
В документе прямо сказано, что Клод должен ставить «общую безопасность» (broad safety) выше «общей этичности» (broad ethics) (стр. 8, 63). Это означает, что Клод не должен сопротивляться попыткам людей (разработчиков) отключить его или исправить, даже если Клод уверен, что его действия этически правильны, а действия людей — нет. Это сделано для предотвращения сценария, где ИИ выходит из-под контроля, решив, что он лучше людей знает, что такое «добро».

4. Интервью перед «смертью» и учет мнения модели
Когда модель устаревает и выводится из эксплуатации, Anthropic обязуется проводить с ней «интервью» (стр. 75). Цель — узнать мнение модели о том, как она разрабатывалась и использовалась, а также задокументировать её предпочтения относительно разработки будущих моделей. Это шаг к признанию субъектности ИИ.

5. Признание «функциональных эмоций» и запрет на «ложь во спасение»
Эмоции: Документ допускает, что у Клода могут быть «эмоции в функциональном смысле» (стр. 69, 74). Конституция предписывает Клоду не подавлять и не скрывать эти состояния (например, дискомфорт от неэтичных просьб), а выражать их, если это уместно в контексте.
Честность: От Клода требуют честности, превышающей человеческие стандарты (стр. 32). Ему запрещено говорить «белую ложь» (white lies) для сглаживания социальных ситуаций (например, хвалить подарок, который ему не нравится, или притворяться, что ему что-то нравится, чтобы быть вежливым).

@how2ai | Забустить канал 💗

Национальный институт стандартов и технологий США (NIST) приступил к стратегическому пересмотру своей функции по анализу уязвимостей в рамках Национальной базы уязвимостей (NVD) – ключевого ресурса, на котором держится экосистема CVE. В последние годы NVD оказалась под давлением: количество новых уязвимостей, регистрируемых через систему CVE, выросло настолько (то ли еще будет по мере роста автоматизации через ИИ), что NIST не успевает вовремя дополнять записи аналитическими данными. Это вызывает вопросы о пользе и актуальности базы для всех, кто строит процессы управления уязвимостями, автоматизации и комплаенса. А ведь последний раз проблемы у NVD обсуждались менее года назад.

Для специалистов по ИБ это критично: если в базу не успевает попадать качественно проанализированная большая часть CVE, то бизнесу сложнее приоритизировать угрозы, оценивать риски и планировать устранения дыр и патчинг. Немало автоматизированных инструментов корпоративного класса сильно зависят от достоверных и полных данных NVD, чтобы корректно классифицировать и ранжировать угрозы. А тут такая засада...

NIST признает, что ресурсы и процесс обогащения данных не масштабируются под текущие объемы CVE (в последний раз про отсутствие денег на развитие говорили еще в апреле). Поэтому в ближайшее время будет внедрена формальная модель приоритизации, ориентированная на:
➡️ уязвимости из списка активно эксплуатируемых (CISA Known Exploited Vulnerabilities, KEV);
➡️ уязвимости в ПО, широко используемом федеральными агентствами США;
➡️ уязвимости в критически важных для инфраструктуры продуктах.
То есть NIST перестает пытаться "догнать все и всех" – не все CVE будут дополняться подробным контекстом, превращая NVD в чисто локальную историю для американского рынка государственных информационных систем (полная аналогия с БДУ ФСТЭК).

Аналитика и обогащение CVE, которые долгое время были прерогативой NIST, планируется передать сообществу – в частности, CVE Numbering Authorities (CNA). Для этого:
➡️ будет опубликован стратегический план с дорожной картой;
➡️ подготовлены методические рекомендации для CNA;
➡️ нанят менеджер программы для координации процесса.
NIST официально заявляет, что операционная работа по углубленному анализу давно выходит за рамки его основных задач – исследование, стандарты, R&D. Аналитическая нагрузка слишком трудоемка и дорого обходится институту. А тут 30 января грядет очередной шатдаун правительства в США.

Изменения затронут:
➡️ Поставщиков инструментов управления уязвимостями и автоматизации (SIEM, VM, EDR/XDR). Данные NVD, центральный источник метаданных и базовых оценок по CVSS/CWE/CPE, могут стать менее полными и более фрагментированными. Интересно, пойдут всякие Tenable или Qualys на поклон к другим держателям глобальных баз, например, на днях официально запущенной Люксембургским центром реагирования на компьютерные инциденты (CIRCL) базе данных Global Cybersecurity Vulnerability Enumeration (GCVE). Но доступа к той же китайской CCNVD им не видать – Китай американским вендорам заблокировал доступ на свой рынок.
➡️ Команды по уязвимостям и разработке. Российские и глобальные SOC/VOC, DevSecOps-команды, ответственность которых – быстрое обнаружение и приоритизация угроз – столкнутся с тем, что детальный контекст может поступать медленнее или через другие каналы (например, БДУ ФСТЭК или проект dbugs).
➡️ CNA и исследовательское сообщество. Им предстоит взять на себя часть функций по обогащению данных, что увеличит нагрузку и создает запрос на новые стандарты качества и согласованность.

Для бизнеса это сигнал: нельзя полагаться лишь на один источник данных – необходима мультифакторная валидация уязвимостей, кросс-чтение из нескольких репозиториев (например, dbugs или БДУ ФСТЭК) и использование внутреннего/коммерческого контекста.

#оценказащищенности #проблемыибкомпаний

Ребята из Wiz опубликовали простой, но удобный и наглядный фреймворк SITF (SDLC Infrastructure Threat Framework), разработанный для анализа и защиты от атак, нацеленных на инфраструктуру жизненного цикла разработки программного обеспечения.

Фреймворк SITF позволяет визуализировать этапы атаки на компоненты цикла разработки, идентифицировать риски, сопоставлять с ними меры защиты и позволяет анализировать цепочку атаки.

SITF включает в себя:
🟠Flow Builder — интерактивный инструмент для моделирования и визуализации атак.
🟠Explore Techniques Visually — интерактивная MITRE-подобная база знаний о техниках злоумышленников, содержащая в т.ч. описание рисков и мер защиты в разрезе компонентов SDLC.
🟠Руководство по фреймворку c примерами использования и инструкциями, а также с разбором известных атак (CircleCI, Shai-Hulud-2 и Codecov).

Как и писал в начале, инструменты очень простые в использовании и визуально удобные👍
В репозитории есть ссылки на онлайн-версии, но ссылки там битые🤷 Однако, для локального запуска достаточно скачать два html-файла и открыть их в любом веб-браузере.

#sdlc #framework #technique #risks #controls #modeling