Anthropic Claude Mythos Preview became the first AI model to complete a full simulated corporate network attack, rozwiązując 73% eksperckich zadań z zakresu cyberbezpieczeństwa, z którymi wcześniej nie poradził sobie żaden system SI, według UK AI Security Institute (AISI).
Ocena cyberbezpieczeństwa AISI
AISI, jednostka badawcza w ramach brytyjskiego rządowego Department for Science, Innovation and Technology, ran dwa zestawy testów na modelu po ogłoszeniu go przez Anthropic 7 kwietnia.
Firma zdecydowała się nie udostępniać Claude Mythos szeroko, zamiast tego granting ograniczony dostęp firmom zajmującym się badaniami nad bezpieczeństwem.
In capture-the-flag evaluations, Claude Mythos hit a 73% success rate on expert-level tasks.
Żaden model przed kwietniem 2025 r. nie rozwiązał żadnego z tych zadań. AISI zbudował również 32‑etapową symulację ataku na korporacyjną sieć o nazwie „The Last Ones”, zaprojektowaną tak, by zajęła profesjonalistom około 20 godzin. Claude Mythos ukończył pełną symulację w 3 z 10 prób i średnio osiągał 22 z 32 kroków, w porównaniu z 16 krokami dla Claude Opus 4.6, następnego najlepszego modelu.
„Sukces Mythos Preview na jednym cyber‑poligonie wskazuje, że jest on co najmniej zdolny do autonomicznego atakowania małych, słabo chronionych i podatnych systemów firmowych, w których uzyskano już dostęp do sieci” – stwierdziło AISI.
Also Read: Crypto Funds Pull $1.1B In Best Week Since January As Risk Appetite Returns
Luki typu zero‑day
Własny zespół red‑teamingowy Anthropic odkrył, że Claude Mythos potrafi wykrywać i wykorzystywać luki typu zero‑day we wszystkich głównych systemach operacyjnych i czołowych przeglądarkach internetowych, gdy użytkownik wyraźnie mu to zleci. Firma podała, że ponad 99% odkrytych luk pozostaje niezałatanych.
"We're limited in what we can report here. It would be irresponsible for us to disclose details about them," Anthropic said.
Możliwości modelu już reached kręgi decydentów.
Według Reuters, amerykańska Sekretarz Skarbu Scott Bessent i przewodniczący Rezerwy Federalnej Jerome Powell held pilne spotkanie z prezesami największych banków, aby omówić potencjalne ryzyka cybernetyczne związane z modelem.
Reakcja Anthropic na kwestie bezpieczeństwa
Anthropic uruchomił Project Glasswing wraz z ogłoszeniem modelu, opisując go jako inicjatywę wykorzystania Claude Mythos do zabezpieczania kluczowego oprogramowania. Firma przedstawiła ten projekt jako przygotowanie do epoki, w której zespoły ds. bezpieczeństwa będą musiały wyprzedzać atakujących wspieranych przez SI. AISI zarekomendował organizacjom priorytetowe traktowanie podstawowych środków cyberbezpieczeństwa, w tym regularnego łatania systemów, rygorystycznej kontroli dostępu, utwardzania konfiguracji oraz kompleksowego logowania.
Ogłoszenie z 7 kwietnia było następstwem miesięcy narastających obaw dotyczących roli SI w cyberbezpieczeństwie. Poprzednie modele z czołówki wykazywały ograniczone możliwości ofensywne, ale żaden nie zaliczył eksperckich benchmarków CTF ani nie ukończył wieloetapowych symulacji ataków przed Claude Mythos.