Antropisch zei dit die week zijn nieuwe debuut Claude Mythos Previewmodel markeert een cruciaal punt in de evolutie van cyberbeveiliging en vertegenwoordigt een ongekende existentiële bedreiging voor bestaande softwareverdedigingsstrategieën. Is dit dus meer een AI-hype, of een echt keerpunt?
Volgens Anthropic overschrijdt Mythos Preview de drempel om kwetsbaarheden in vrijwel elk besturingssysteem, browser of ander softwareproduct te kunnen vinden en ontwikkelt het zelfstandig werkende exploits voor hacking. Met dit in gedachten heeft het bedrijf het nieuwe model momenteel slechts aan enkele tientallen organisaties vrijgegeven, waaronder Microsoft, Apple, Google en de Linux Foundation, als onderdeel van zijn inspanningen. consortium genaamd Project Glasswing. Maar na jaren van speculatie over hoe generatieve AI de cyberveiligheid zou kunnen beïnvloeden, leidde het nieuws van deze week tot controverse over de vraag of dergelijke berekeningen daadwerkelijk zijn uitgevoerd en hoe de implementatie ervan er in de praktijk uit zou kunnen zien.
Sommige mensen staan erg sceptisch tegenover de beweringen van Anthropic. Ze beweren dat bestaande AI-agenten gebruikers al kunnen helpen kwetsbaarheden gemakkelijker en goedkoper dan ooit tevoren te vinden en te exploiteren, en deze realiteit zorgt voor verbeteringen in de manier waarop bedrijven hun software vinden en patchen zonder het paradigma fundamenteel te veranderen. En er is het nadeel dat Anthropic vrijwel zeker financieel zal winnen door zijn nieuwste model als mysterieus, uniek krachtig en exclusief te positioneren. Andere onderzoekers en praktijkmensen zeggen echter dat ze het eens zijn met de beoordeling van Anthropic en wijzen erop dat het bedrijf zegt dat de Mythos Preview slechts de eerste is die mogelijkheden bereikt die uiteindelijk algemeen beschikbaar zullen worden in andere modellen.
“Normaal gesproken ben ik erg sceptisch over deze dingen, en de open source-gemeenschap is vaak erg sceptisch, maar eigenlijk heb ik het gevoel dat dit een reële bedreiging is”, zegt Alex Zenla, hoofd technologie bij cloudbeveiligingsbedrijf Edera.
Zenla en anderen wezen specifiek op één Mythos Preview-vaardigheid als draaipunt. Generatieve AI, zo zeggen ze, is nu steeds beter in staat om zogenaamde ‘exploitketens’ te identificeren en te ontwikkelen, oftewel groepen kwetsbaarheden die achtereenvolgens kunnen worden uitgebuit om een doelwit in gevaar te brengen – in wezen een hack in de stijl van een Rube Goldberg-machine. Veel van de meest geavanceerde hacktechnieken maken gebruik van exploitketens, waaronder de zogenaamde klikloze aanval waardoor het systeem in gevaar wordt gebracht zonder enige interactie van de gebruiker te vereisen.
“We leven al in een wereld waarin bedrijven kwetsbare software en hardware gebruiken en moeite hebben met patchen. Veel bedrijven zijn niet in staat hun infrastructuur te beveiligen – dit is van gisteren op vandaag niet veranderd”, zegt beveiligingsingenieur en onderzoeker Niels Provos. “Maar voor zover ik het begrijp, is Mythos echt goed in het vinden van kwetsbaarheden in meerdere fasen, en dan ook in het leveren van bewijs van exploitatie. Ik denk niet dat dit de probleemruimte intrinsiek verandert, maar het verandert wel het niveau van expertise dat nodig is om deze kwetsbaarheden te vinden en te exploiteren.”
De beperkte release van de Mythos Preview voor Project Glasswing-deelnemers gaf verdedigers weinig tijd om zwakke punten in hun eigen systemen te ontdekken met behulp van het model en om breder te begrijpen hoe softwareontwikkeling, updatecycli en patch-acceptatie moeten veranderen voordat aanvallers zelf wijdverspreide toegang hebben tot die mogelijkheden.
Marktleiders lijken acht te slaan op de waarschuwingen. De leider van het rode front van Anthropic, Logan Graham, vertelde dinsdag aan WIRED dat toen het bedrijf voorafgaand aan de aankondiging van deze week contact opnam met organisaties over Project Glasswing, de telefoontjes steeds korter werden naarmate de potentiële dreiging duidelijker werd.
“Dit is een probleem waar alle modelontwikkelaars bij betrokken zijn. Ons doel hier is slechts om te beginnen”, zei Graham. “Het is van cruciaal belang dat Mythos Preview in handen is van verdedigers om een voorsprong te bieden.”
