Anthropic aiheutti koko alan paniikkia viime viikolla, kun se julkisti Claude Mythos Preview’n, tekoälymallin, jolla on taito paljastaa korkean tason kyberturvallisuuden haavoittuvuuksia.
Saavutuksistaan malli löysi nyt korjatun heikkouden OpenBSD:stä, turvallisuudestaan tunnetusta käyttöjärjestelmästä, jota Anthropicin mukaan ei löydetty 27 vuoteen.
Yhtiön mukaan se on myös löytänyt “tuhansia muita erittäin vakavia ja kriittisiä haavoittuvuuksia” avoimen ja suljetun lähdekoodin ohjelmista.
Tekniset asiantuntijat ja muut asiantuntijat järkyttyivät myöhemmin mahdollisuudesta, että suuri kielimalli häiritsisi kyberturvallisuutta, mutta yksi 25-vuotias alan veteraani on skeptinen.
David Lindner, Contrast Securityn tietoturvapäällikkö, kertoi Fortunelle, että vaikka Mythos voi auttaa löytämään lukemattomia ongelmia, tämä ei välttämättä ole tärkein.
“Meillä ei ole koskaan ollut ongelmia löytää haavoittuvuuksia. Löydämme niitä joka päivä. Itse asiassa meillä on paljon niitä, joita emme vain korjaa”, hän sanoi. “Joten en usko, että se oikeastaan muuta mitään.”
Lindner huomautti, että heikkouksia on helpompi löytää kuin korjata, ja huomautti, että Anthropicin blogiviesti, jossa kerrottiin Mythosista, väitti, että yli 99 prosenttia mallin löytämistä haavoittuvuuksista ei ole korjattu.
Tarkemmin sanottuna hän sanoi, että Mythos ei juurikaan auta ratkaisemaan yhtä suurimmista kyberturvallisuusasiantuntijoiden ongelmista: sosiaalista suunnittelua. Hakkerit voivat edelleen käyttää olemassa olevia työkaluja ja tekoälyä esiintyäkseen työntekijän pomona tai IT-työntekijänä ja päästäkseen järjestelmiin, hän väitti.
Anthropic on sanonut, että Mythos on niin voimakas, että sitä ei julkaista julkisesti ja se on saatavilla vain 40 organisaation ryhmälle, mukaan lukien teknologiayritykset, kuten Microsoft, Apple ja Google, sekä muut, kuten kyberturvallisuusyhtiö CrowdStrike ja pankki JPMorgan Chase, jotta ne voivat käyttää tekniikkaa oman turvallisuusinfrastruktuurinsa parantamiseen Project Glasswing -nimisellä ponnistelulla.
Koska niin monilla ihmisillä on pääsy malliin, Lindner ennusti myös, että se ei pysy pitkään salassa.
“Vaikka he eivät julkaisisikaan sitä, lainaus ei lainata, Kiinalla on versio viiden tai kuuden kuukauden kuluttua, ja avoimen lähdekoodin versio tulee vuoden tai kahden sisällä”, hän sanoi.
Muuten, Fortune raportoi ensimmäisenä Mythoksen kehityksestä tietoturvaloukkauksen ansiosta, jossa yritys jätti tiedot suuresta kielimallista julkisesti saatavilla olevaan tietokantaan.
Samaan aikaan pääomasijoittaja Marc Andreessen on herättänyt kysymyksiä siitä, viivyttääkö Anthropic todella Mythosin julkaisua turvallisuussyistä vai siksi, että sillä ei ole laskentatehoa tukemaan yleistä julkaisua. Anthropic on viime aikoina kohdannut usein katkoksia ja se on rajoittanut käyttäjien laskentatehoa ruuhka-aikoina, Wall Street Journal raportoi tänä viikonloppuna.
Silti muut kyberturvallisuuden asiantuntijat kiinnittävät edelleen huomiota Mythokseen ja sen mahdollisuuksiin muokata kyberturvallisuutta. Zach Lewis, St. Louisin terveystieteiden ja farmasian yliopiston tietoturvapäällikkö ja tietoturvapäällikkö, kertoi Fortunelle, että hän on huolissaan siitä, että Mythos helpottaa huonojen toimijoiden, jopa niiden, joilla on vähän koodauskokemusta, järjestelmien hyödyntämistä.
“Uhkatoimijoiden ei tarvitse edes tietää (heillä ei tarvitse olla kokemusta) koodauksesta tai ohjelmistosuunnittelusta ymmärtääkseen, kuinka nämä järjestelmät toimivat. He voivat ottaa käyttöön agentin, joka voi tehdä sen heidän puolestaan”, hän sanoi.
Lewisin mukaan osa organisaatioiden ratkaisua voi olla tuplata strategioita, jotka estävät jo satoja, ellei tuhansia, hyväksikäyttöyrityksiä päivässä.
Tämä sisältää olemassa olevien haavoittuvuuksien korjaamisen ja sen varmistamisen, että työntekijöiden käyttöoikeudet ovat tiukasti rajoitettuja, jotta niitä ei voida hyödyntää.
“Nämä asiat on estettävä”, hän sanoi.
