W zeszłym tygodniu firma Anthropic wywołała panikę w całej branży, ogłaszając Claude Mythos Preview, model sztucznej inteligencji z talentem do odkrywania luk w zabezpieczeniach cybernetycznych wysokiego poziomu.
Wśród swoich osiągnięć model znalazł załataną obecnie słabość w OpenBSD, systemie operacyjnym znanym ze swojego bezpieczeństwa, która według Anthropic pozostawała nieodkryta przez 27 lat.
Według firmy wykryto także „tysiące dodatkowych luk o poważnym i krytycznym znaczeniu” w programach o otwartym i zamkniętym kodzie źródłowym.
Następnie eksperci technologiczni i inni eksperci przestraszyli się, że model dużego języka zakłóci cyberbezpieczeństwo, ale jeden weteran branży z 25-letnim stażem jest sceptyczny.
David Lindner, dyrektor ds. bezpieczeństwa informacji w Contrast Security, powiedział Fortune, że chociaż Mythos może pomóc w wykryciu niezliczonych problemów, ten niekoniecznie jest najważniejszy.
„Nigdy nie mieliśmy problemu ze znalezieniem luk. Znajdujemy je każdego dnia. Tak naprawdę mamy ich wiele, których po prostu nie naprawiamy” – powiedział. „Więc nie sądzę, że to naprawdę cokolwiek zmienia”.
Lindner zauważył, że słabości łatwiej jest znaleźć niż naprawić, zauważając, że w poście na blogu Anthropic ogłaszającym Mythos stwierdzono, że ponad 99% luk wykrytych przez model nie zostało załatanych.
Mówiąc dokładniej, powiedział, Mythos niewiele robi, aby pomóc rozwiązać jeden z największych problemów stojących przed ekspertami ds. cyberbezpieczeństwa: inżynierię społeczną. Hakerzy nadal mogą wykorzystywać istniejące narzędzia i sztuczną inteligencję, aby podszywać się pod szefa pracownika lub pracownika IT i uzyskać dostęp do systemów – argumentował.
Anthropic stwierdziło, że Mythos jest tak potężny, że nie zostanie udostępniony publicznie i będzie dostępny tylko dla grupy 40 organizacji, w tym firm technologicznych, takich jak Microsoft, Apple i Google, a także innych, takich jak firma zajmująca się cyberbezpieczeństwem CrowdStrike i bank JPMorgan Chase, aby mogły wykorzystać tę technologię do ulepszenia własnej infrastruktury bezpieczeństwa w ramach projektu o nazwie Project Glasswing.
Ponieważ dostęp do modelu ma tak wiele osób, Lindner przewidział również, że nie pozostanie to długo tajemnicą.
„Nawet jeśli, cytuję, nie wypuszczą, Chiny będą miały wersję za pięć lub sześć miesięcy, a wersja open source w ciągu roku lub dwóch” – powiedział.
Nawiasem mówiąc, Fortune jako pierwsza poinformowała o rozwoju Mythos, dzięki naruszeniu bezpieczeństwa, w wyniku którego firma pozostawiła szczegóły dotyczące modelu dużego języka w publicznie dostępnej bazie danych.
Tymczasem inwestor venture capital Marc Andreessen postawił pytania, czy Anthropic rzeczywiście opóźnia premierę Mythos ze względów bezpieczeństwa, czy też dlatego, że brakuje jej mocy obliczeniowej do obsługi powszechnej premiery. Jak donosi „Wall Street Journal”, w ostatnim czasie Anthropic borykał się z częstymi awariami i ograniczał moc obliczeniową użytkowników w godzinach szczytu.
Mimo to inni eksperci ds. cyberbezpieczeństwa nadal zwracają uwagę na Mythos i jego potencjał w zakresie zmiany kształtu cyberbezpieczeństwa. Zach Lewis, dyrektor ds. informacji i dyrektor ds. bezpieczeństwa informacji na Uniwersytecie Nauk o Zdrowiu i Farmacji w St. Louis, powiedział Fortune, że martwi się, że Mythos znacznie ułatwia złym aktorom, nawet tym z niewielkim doświadczeniem w kodowaniu, wykorzystywanie systemów.
„Aktorzy zagrażający nie muszą nawet znać się na kodowaniu ani projektowaniu oprogramowania (nie muszą mieć doświadczenia), aby zrozumieć, jak działają te systemy. Mogą wdrożyć agenta, który zrobi to za nich” – powiedział.
Według Lewisa częścią rozwiązania dla organizacji może być podwojenie strategii, które już udaremniają setki, jeśli nie tysiące prób wyzysku dziennie.
Obejmuje to łatanie istniejących luk w zabezpieczeniach i zapewnienie, że uprawnienia pracowników są ściśle ograniczone, aby nie można było ich wykorzystać.
„Te rzeczy muszą zostać zablokowane” – powiedział.
