Specjaliści ds. bezpieczeństwa odpierają alarmistyczne głosy, że nieopublikowany model AI Mythos Anthropic wywoła falę włamań, nazywając te reakcje przesadzonymi miesiąc po premierze.
Praktycy tonują panikę wokół Mythos
Ryzyko hakerskie związane z Mythos wygląda na mniejsze, niż początkowo obawiały się rządy, poinformował w środę Reuters w swoim materiale. Przy premierze w kwietniu Anthropic ogłosił, że model wykrył tysiące luk w oprogramowaniu obejmujących każdy główny system operacyjny i przeglądarkę.
Przedstawiciele kilku krajów spotykali się z bankami, by ocenić skalę ekspozycji, a Biały Dom już na początku maja rozważał regulacje dotyczące sposobu udostępniania nowych modeli po testach bezpieczeństwa.
W środowisku cyberbezpieczeństwa reakcja jest jednak spokojniejsza. „Myślę, że istnieje bardzo duża luka komunikacyjna między praktykami a decydentami politycznymi” – powiedział Isaac Evans, założyciel i dyrektor generalny firmy zajmującej się bezpieczeństwem oprogramowania Semgrep, w rozmowie z Reuters (źródło). Dodał, że model jest „prawdziwym postępem technicznym”, ale reakcja opinii publicznej „nie znajduje potwierdzenia w tym, co faktycznie wiemy”.
Zobacz też: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
Eksperci widzą umiarkowane ryzyko
Większym problemem niż samo znajdowanie błędów jest ich triage. Jeden z badaczy podatności z wczesnym dostępem powiedział, że AI ujawniła więcej luk, niż zespoły są w stanie obsłużyć przez wiele miesięcy, a prawdziwym wąskim gardłem jest weryfikacja i łatanie.
Mythos obniża próg wejścia, ponieważ generuje wyniki na podstawie słabszych promptów, niż wymagały wcześniejsze modele.
Anthony Grieco, starszy wiceprezes i dyrektor ds. bezpieczeństwa i zaufania w Cisco, wskazał na szybsze skanowanie kodu i mniej fałszywych alarmów, co pomaga obrońcom skupić się na najpilniejszych zagrożeniach. Mythos ma też mniej zabezpieczeń niż wcześniejsze wydania.
Cynthia Kaiser, była wysoka urzędniczka ds. cyberbezpieczeństwa w FBI, obecnie pracująca w firmie bezpieczeństwa Halcyon, stwierdziła, że większość ataków nadal nie zależy od AI. „Nasi przeciwnicy świetnie sobie radzili bez AI” – powiedziała, zwracając uwagę, że gangi ransomware potrafią dziś doprowadzić do skutecznego ataku w mniej niż godzinę.
Tło Project Glasswing
Anthropic uruchomił Project Glasswing 7 kwietnia, zapewniając wybranym organizacjom dostęp do Claude Mythos Preview na potrzeby defensywnego cyberbezpieczeństwa; wśród partnerów znalazły się Apple, Microsoft, Google, AWS i CrowdStrike. Pentagon w marcu uznał Anthropic za ryzyko dla łańcucha dostaw, mimo że – według doniesień – NSA nadal korzystała z Mythos Preview. Pod koniec kwietnia Biały Dom odrzucił plan poszerzenia listy partnerów z około 50 firm do około 120.
Czytaj dalej: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain