Il modello Claude Mythos di Anthropic ha impiegato solo poche ore per mettere in luce falle di sicurezza in sistemi informatici governativi statunitensi altamente sensibili durante un test di intelligence classificato, ha riferito un funzionario.
Punti chiave:
- Il modello Mythos di Anthropic ha individuato vulnerabilità nei sistemi classificati del governo USA in poche ore durante un test di intelligence, ha detto un funzionario.
- Trovare una debolezza non equivale a sfruttarla, ha avvertito il funzionario.
- Oltre 100 esperti di cybersecurity chiedono al governo di revocare i limiti all’export che hanno messo offline Mythos e Fable 5.
Il test Mythos mette a nudo falle nei sistemi governativi classificati
Un funzionario statunitense, che ha parlato in anonimato a causa della delicatezza del lavoro, ha affermato che le agenzie di intelligence hanno condotto l'esercitazione con l'azienda all'interno di un programma chiamato Project Glasswing. L’iniziativa ha riunito giganti tecnologici e altre società per irrobustire i software critici prima che le falle potessero arrecare gravi danni alla sicurezza pubblica e all’economia. Anthropic aveva rinviato il rilascio pubblico di Mythos, concedendo invece un accesso anticipato a un gruppo selezionato di aziende affinché potessero individuare e correggere bug critici prima di qualsiasi attaccante.
Il senatore democratico Mark Warner della Virginia ha menzionato per primo i test l’11 giugno, durante un’audizione davanti alla Commissione bancaria, edilizia residenziale e affari urbani del Senato. Ha affermato che lo strumento ha violato quasi tutti i sistemi classificati del governo in poche ore invece che in settimane, attribuendo il resoconto a Joshua Rudd, che guida la National Security Agency e lo U.S. Cyber Command.
Identificare una debolezza, ha avvertito il funzionario, non è la stessa cosa che sfruttarla.
Leggi anche: La svendita dei Perp Anthropic è un avvertimento per le scommesse crypto pre-IPO?
Gli esperti di cybersecurity contestano i limiti all’export
Oltre 100 leader della cybersecurity, inclusi esponenti di Adobe e Nvidia, hanno sollecitato il governo a revocare le restrizioni all’export e a impegnarsi in un processo trasparente di valutazione del rischio AI. Hanno definito Mythos capace di trovare e trasformare in armi le falle software, ma non in modo unico, dato che molti di loro si affidano a modelli rivali e open source per lo stesso lavoro. I sistemi cinesi sono indietro rispetto ai migliori modelli americani solo di pochi mesi, hanno sostenuto, rendendo la tempistica particolarmente rischiosa.
La reazione arriva dopo una direttiva all’export del 12 giugno che ha vietato ai cittadini stranieri l’accesso a Mythos 5 e Fable 5, la versione a diffusione più ampia del livello Mythos. Anthropic ha disattivato entrambi i modelli per tutti i clienti per conformarsi, pur ribadendo di non vedere alcun fondamento di sicurezza nella mossa del governo.
La direttiva ha fatto seguito a un ordine esecutivo del presidente Donald Trump che ha istituito un vaglio federale dei sistemi di AI più avanzati per un periodo fino a un mese prima del rilascio. La partecipazione degli sviluppatori sarebbe volontaria, recita l’ordine, anche se le tensioni con l’azienda, orientata alla sicurezza, restano elevate.
Il curriculum cyber di Mythos precede lo scontro
Il modello era arrivato in primavera con una comprovata capacità di portare alla luce falle software che sfuggono persino a ricercatori umani esperti. L’AI Security Institute britannico ha in precedenza promosso Mythos in prove di tipo capture-the-flag a livello esperto che nessun sistema aveva mai risolto prima, con il modello che ne ha superate il 73%. Mozilla ha separatamente attribuito a una versione preliminare la scoperta di 271 vulnerabilità in Firefox, che sono state corrette nella 150ª release del browser.
Da leggere dopo: Mane City Mobile arriva su iOS e Android in oltre 100 paesi