Η εταιρεία τεχνητής νοημοσύνης Anthropic αντιμετώπισε ένα σοβαρό κενό ασφαλείας, το οποίο οδήγησε στην ακούσια αποκάλυψη λεπτομερειών για ένα επερχόμενο μοντέλο, μια αποκλειστική εκδήλωση για CEOs και άλλα εσωτερικά δεδομένα, συμπεριλαμβανομένων εικόνων και αρχείων PDF. Η μη δημοσιευμένη πληροφορία έγινε προσβάσιμη μέσω του συστήματος διαχείρισης περιεχομένου (CMS) της εταιρείας, το οποίο χρησιμοποιείται για τη δημοσίευση πληροφοριών σε τμήματα του ιστοτόπου της.

Σύμφωνα με τον Alexandre Pauwels, ερευνητή κυβερνοασφάλειας από το Πανεπιστήμιο του Cambridge, περίπου 3.000 στοιχεία που συνδέονται με το blog της Anthropic, τα οποία δεν είχαν δημοσιευτεί προηγουμένως στους δημόσιους ιστότοπους ειδήσεων ή έρευνας της εταιρείας, ήταν δημόσια προσβάσιμα σε αυτή την αποθήκη δεδομένων. Μετά από ενημέρωση της Anthropic από το Fortune την Πέμπτη, η εταιρεία προχώρησε σε ενέργειες για την ασφάλιση των δεδομένων, καθιστώντας τα μη προσβάσιμα στο κοινό.

Πριν από αυτές τις ενέργειες, η Anthropic αποθήκευε όλο το περιεχόμενο του ιστοτόπου της – όπως αναρτήσεις ιστολογίου, εικόνες και έγγραφα – σε ένα κεντρικό σύστημα προσβάσιμο χωρίς σύνδεση. Οποιοσδήποτε με τεχνικές γνώσεις μπορούσε να στείλει αιτήματα σε αυτό το δημόσιο σύστημα, ζητώντας πληροφορίες σχετικά με τα αρχεία που περιέχει. Αυτό σήμαινε ότι μη δημοσιευμένο υλικό, συμπεριλαμβανομένων προσχεδίων σελίδων και εσωτερικών στοιχείων, μπορούσε να προσπελαστεί απευθείας.

Το ζήτημα φαίνεται να πηγάζει από τον τρόπο λειτουργίας του CMS της Anthropic. Όλα τα στοιχεία, όπως λογότυπα, γραφικά ή ερευνητικές εργασίες, που ανεβάστηκαν στην κεντρική αποθήκη δεδομένων ήταν δημόσια εξ ορισμού, εκτός αν ορίζονταν ρητώς ως ιδιωτικά. Η εταιρεία φαίνεται να παρέλειψε να περιορίσει την πρόσβαση σε ορισμένα έγγραφα που δεν προορίζονταν για δημοσιοποίηση, με αποτέλεσμα τη μεγάλη συλλογή αρχείων να είναι διαθέσιμη στη δημόσια λίμνη δεδομένων της εταιρείας, σύμφωνα με αναλυτές κυβερνοασφάλειας.

Εκπρόσωπος της Anthropic δήλωσε στο Fortune ότι «ένα πρόβλημα με ένα από τα εξωτερικά εργαλεία CMS μας οδήγησε στην προσβασιμότητα προσχεδίου περιεχομένου», αποδίδοντας το ζήτημα σε «ανθρώπινο λάθος στη διαμόρφωση του CMS». Η εταιρεία τόνισε ότι το θέμα ήταν «ανεξάρτητο από τα εργαλεία AI της Anthropic, όπως το Claude, το Cowork, ή οποιαδήποτε άλλα εργαλεία».

Η Anthropic επιχείρησε να υποβαθμίσει τη σημασία ορισμένου υλικού που είχε απομείνει χωρίς ασφάλεια, δηλώνοντας ότι «αυτά τα υλικά ήταν πρώιμα προσχέδια περιεχομένου που εξετάστηκαν για δημοσίευση και δεν αφορούσαν την κεντρική μας υποδομή, τα συστήματα AI, τα δεδομένα πελατών ή την αρχιτεκτονική ασφαλείας».

Παρόλο που πολλά από τα έγγραφα φαίνεται να είναι απορριφθέντα ή αχρησιμοποίητα στοιχεία για προηγούμενες αναρτήσεις ιστολογίου, όπως εικόνες, banner και λογότυπα, ορισμένα από τα δεδομένα περιείχαν ευαίσθητες πληροφορίες. Μεταξύ αυτών ήταν λεπτομέρειες για επερχόμενες ανακοινώσεις προϊόντων, συμπεριλαμβανομένων πληροφοριών για ένα μη δημοσιευμένο μοντέλο AI, το οποίο η Anthropic χαρακτήρισε ως το πιο ικανό μοντέλο που έχει εκπαιδεύσει ποτέ. Η εταιρεία επιβεβαίωσε ότι αναπτύσσει και δοκιμάζει ένα νέο μοντέλο με πρώιμους πελάτες, το οποίο αντιπροσωπεύει ένα «βήμα αλλαγής» στις δυνατότητες της AI, με σημαντικά βελτιωμένη απόδοση στην «συλλογιστική, την κωδικοποίηση και την κυβερνοασφάλεια».

Επιπλέον, τα δημόσια προσβάσιμα δεδομένα περιείχαν πληροφορίες για μια επικείμενη, μόνο με πρόσκληση, συνάντηση CEOs μεγάλων ευρωπαϊκών εταιρειών στο Ηνωμένο Βασίλειο, στην οποία αναμενόταν να παραστεί ο CEO της Anthropic, Dario Amodei. Η συνάντηση χαρακτηρίστηκε ως «μέρος μιας συνεχούς σειράς εκδηλώσεων που φιλοξενούμε τον τελευταίο χρόνο».

Δεν είναι η πρώτη φορά που μια εταιρεία τεχνολογίας εκθέτει ακούσια εσωτερικά ή προ-κυκλοφοριακά στοιχεία, αφήνοντάς τα δημόσια προσβάσιμα πριν από επίσημες ανακοινώσεις. Στο παρελθόν, εταιρείες όπως η Apple, η Epic Games, η Nintendo, η Google και η Tesla έχουν αντιμετωπίσει παρόμοια περιστατικά έκθεσης δεδομένων. Ωστόσο, το πρόβλημα επιτείνεται από τα εργαλεία κωδικοποίησης AI που είναι πλέον διαθέσιμα, τα οποία αυτοματοποιούν τη σάρωση, τον εντοπισμό προτύπων και τη συσχέτιση δημοσίως προσβάσιμων στοιχείων, μειώνοντας τα εμπόδια για την ανακάλυψη τέτοιων δεδομένων.