소수의 무단 이용자 그룹이 제3자 벤더 환경을 통해 약 2주 동안 Anthropic의 제한된 Claude Mythos에 접속해 왔다.
Mythos 벤더 침해
블룸버그는 4월 21일, 미공개 AI 모델을 추적하는 비공개 디스코드 채널 내부 소스를 인용해 이번 침해를 처음으로 보도했다.
이 그룹은 Anthropic이 Mythos를 공개한 바로 그날인 4월 7일에 접속 권한을 얻었다.
소식통에 따르면, 이들은 제3자 계약업체의 자격 증명과 일반적인 오픈소스 조사 도구를 활용해 모델의 엔드포인트를 추측했다. 이들은 증거로 블룸버그에 스크린샷과 라이브 데모를 제공했다.
Anthropic 대변인은 “제3자 벤더 환경 중 하나를 통해 Claude Mythos Preview에 무단 접근이 있었다는 신고를 조사 중”이라고 밝혔다. 회사는 자사 시스템이 직접 침해되었다는 증거는 찾지 못했다고 덧붙였다.
또 읽어보기: $292M KelpDAO Hack Highlights Ethereum Weakness, Hoskinson Says
Glasswing 보안 후폭풍
보도에 따르면, 이 그룹은 Mythos에서 사이버보안 관련 프롬프트 실행을 피하고 있는데, 이는 무해함을 증명하기보다는 탐지를 피하기 위한 의도로 분석가들은 보고 있다.
독립적인 논평가들은, 해당 도구가 주요 운영체제와 브라우저 전반에서 제로데이 취약점을 찾아내고 악용할 수 있다는 점에서, 의도는 핵심이 아니라고 지적한다.
Schneier on Security와 Cybersecurity News에 글을 올린 보안 연구원들은 이번 사건이 프런티어 AI의 가장 약한 고리, 즉 계약업체 계정과 예측 가능한 엔드포인트 네이밍을 드러냈다고 말한다.
Anthropic은 Glasswing 프로젝트 일환으로 4월 7일 Mythos Preview를 출시하며 최대 1억 달러 상당의 사용 크레딧을 제공하겠다고 약속했다.
접근 권한은 Apple, Microsoft, Google, Amazon Web Services, Nvidia를 포함한 12개 런치 파트너와 약 40개의 핵심 인프라 기관으로 제한됐다. 회사는 이 모델이 잘못된 이들의 손에 넘어갈 경우 무기화될 수 있다고 경고한 바 있으며, 지금 돌아보면 예언적 경고였다는 평가가 나온다.
다음 읽기: CHIP Volume Now Outpaces Market Cap As Traders Pile In