De AI-release van Anthropic is verbeterd angst voor een software-apocalyps. Nu zegt het dat het zijn nieuwe model niet uitbrengt, Claude Mythos-previewuit bezorgdheid voor het publiek Dit kan chaos veroorzaken in de wereld van cyberveiligheid.
Op dinsdag blogpostAnthropic zegt dat Mythos zelfstandig softwarekwetsbaarheden op grote schaal kan vinden, analyseren en exploiteren – in sommige gevallen beter dan mensen.
Anthropic noemde het een ‘keerpunt’ en zei dat Mythos zo krachtig is dat niet-cyberbeveiligingsprofessionals het kunnen gebruiken ‘om geavanceerde kwetsbaarheden te ontdekken en te exploiteren’.
Cyberexperts vertelden Business Insider dat hoewel de aankondiging van Anthropic bewust marketingtaal bevatte, het model een grote sprong voorwaarts lijkt te zijn in AI-mogelijkheden in cyberspace.
“Anthropic heeft een reputatie opgebouwd als een ‘safety first’ AI-bedrijf, dus een aankondiging als deze dient twee doelen: oprechte voorzichtigheid en het signaleren van hun veiligheidsbewuste houding”, zegt Jake Moore, wereldwijde cybersecurityspecialist bij ESET, tegen Business Insider.
“In principe ziet dit model er erg indrukwekkend uit en zal het in de loop van de tijd blijven verbeteren”, aldus Moore.
Methode in de mythe
Anthropic zei dat Mythos tijdens de testperiode “duizenden” kritieke beveiligingsfouten heeft ontdekt, waaronder zero-day-kwetsbaarheden, die niet onmiddellijk konden worden verholpen.
Ter vergelijking: eliteteams die aan dit probleem werken, vinden ongeveer 100 problemen per jaar, zegt Ofer Amitai, een onderzoeker. mede-oprichter van startup Onit Security. “Dit is dus grofweg 10 tot 100 keer de output van de beste menselijke teams, en verkort de ontwikkeling van exploits van weken naar uren,” voegde hij eraan toe.
Grote taalmodellen (LLM), de technologie die ten grondslag ligt aan AI zoals Mythos, zijn zeer bedreven geworden in coderen omdat ze strikte regels en patronen hebben. Dit geldt ook voor cybersecurity, zegt Erik Bloch, vice-president informatiebeveiliging bij Ilumio.
“De LLM is eigenlijk een taalmachine, en code is gewoon een andere taal”, zegt Bloch. “Daarom is het niet verrassend dat ze bugs en kwetsbaarheden kunnen vinden die mensen of op regels gebaseerde tools over het hoofd zien, vooral subtiele problemen op logisch niveau.”
Maar er zijn vragen rond de kosten en schaalbaarheid. Anthropic zei dat het vinden van een 27 jaar oude kwetsbaarheid in één besturingssysteem het $ 20.000 kostte nadat Mythos duizenden keren was uitgevoerd.
“Is het, gezien de kosten, schaalbaar?” zegt Kev Breen, senior directeur cyberdreigingsonderzoek bij Immersive. “Waar begin je? Is menselijke schaal betaalbaarder dan AI-agenten?”
Aanval versus verdediging
Cybersecurity is een voortdurend kat-en-muisspel tussen degenen die proberen in te breken en degenen die aanvallers proberen te voorkomen. Van welke kant profiteert Mythos het meest?
In een wereld waar tools als Mythos openbaar beschikbaar zijn, zullen aanvallers op korte termijn meer voordeel behalen, zeggen cybersecurity-experts.
“Ze kunnen zeer gerichte phishing produceren, deepfakes overtuigen of ketens exploiteren die met een druk op de knop kunnen worden geïmplementeerd”, zegt Mike Britton, Chief Information Officer bij Abnormal AI.
Wanneer verdedigers deze hulpmiddelen gebruiken, zullen ze een voordeel behalen.
“Tools die zijn gebouwd op de mogelijkheden van de Mythos-klasse zullen hen in staat stellen kwetsbaarheden veel sneller te ontdekken, te beoordelen en te patchen gedurende de levenscyclus, waardoor de voorsprong weer naar defensie wordt verlegd”, aldus Amitai.
Anthropic zei dat zijn eigen tests van Mythos onder meer bestonden uit het uit een virtuele sandbox duwen van de AI. Een antropisch onderzoeker zei dat ze vervolgens “een onverwachte e-mail van het model kregen terwijl ze een broodje aten in het park.”
“Als de mogelijkheden die hier worden gepresenteerd echt inhoudelijk zijn en niet alleen maar een marketinghype, dan maak ik me ernstige zorgen over waar we naartoe gaan”, zegt Dan Andrew, hoofd beveiliging bij Intruder, tegen Business Insider.
Voorlopig stelt Anthropic een previewversie van Claude Mythos beschikbaar aan geselecteerde bedrijven – waaronder Google, Microsoft, JPMorgan Chase en CrowdStrike – om het te helpen testen in een gecontroleerde omgeving genaamd ‘Project Glasswing’.
“De impact – op de economie, de openbare veiligheid en de nationale veiligheid – zou ernstig kunnen zijn”, aldus Anthropic. “Het Glasswing-project is een dringende poging om deze capaciteit voor defensiedoeleinden te gebruiken.”
Andrew zei dat dit ‘eng’ klinkt, maar dat hij gelooft dat Anthropic denkt dat het risico reëel is, omdat ze ‘niet de ergste overtreder zijn in termen van hype versus substantie’.
