Η ανακοίνωση του Claude Mythos Preview από την Anthropic, ενός μοντέλου Τεχνητής Νοημοσύνης (AI) με ιδιαίτερη ικανότητα στον εντοπισμό προηγμένων ευπαθειών κυβερνοασφάλειας, προκάλεσε αναστάτωση στον κλάδο. Μεταξύ των επιτευγμάτων του, το μοντέλο εντόπισε ένα πλέον διορθωμένο κενό ασφαλείας στο OpenBSD, ένα λειτουργικό σύστημα γνωστό για την ασφάλειά του, το οποίο η Anthropic ισχυρίζεται ότι παρέμενε εντοπισμένο για 27 χρόνια. Επιπλέον, έχει εντοπίσει «χιλιάδες επιπλέον ευπάθειες υψηλής και κρίσιμης σοβαρότητας» τόσο σε ανοιχτού κώδικα όσο και σε κλειστού κώδικα προγράμματα.

Ωστόσο, παρά τον αρχικό πανικό και τις ανησυχίες σχετικά με τις δυνατότητες του μεγάλου γλωσσικού μοντέλου να ανατρέψει την κυβερνοασφάλεια, ένας βετεράνος του κλάδου με 25ετή εμπειρία εκφράζει σκεπτικισμό. Ο David Lindner, ο chief information security officer στην Contrast Security, δήλωσε στο Fortune ότι, ενώ το Mythos μπορεί να βοηθήσει στον εντοπισμό πολλών προβλημάτων, αυτό δεν αποτελεί απαραίτητα το πιο σημαντικό ζήτημα. «Δεν είχαμε ποτέ πρόβλημα να βρίσκουμε ευπάθειες. Τις βρίσκουμε καθημερινά. Έχουμε στην πραγματικότητα έναν σωρό από αυτές που απλώς δεν διορθώνουμε», δήλωσε, προσθέτοντας: «Οπότε δεν νομίζω ότι αυτό αλλάζει κάτι πραγματικά».

Ο Lindner επεσήμανε ότι τα κενά ασφαλείας είναι ευκολότερα να βρεθούν παρά να επιλυθούν, σημειώνοντας ότι η ανακοίνωση του Mythos από την Anthropic ανέφερε πως πάνω από το 99% των ευπαθειών που αποκάλυψε το μοντέλο δεν έχουν ακόμη διορθωθεί. Ειδικότερα, τόνισε ότι το Mythos προσφέρει ελάχιστη βοήθεια στην επίλυση ενός από τα μεγαλύτερα προβλήματα που αντιμετωπίζουν οι ειδικοί κυβερνοασφάλειας: την κοινωνική μηχανική (social engineering). Οι χάκερ μπορούν ακόμη να χρησιμοποιούν υπάρχοντα εργαλεία και AI για να υποδυθούν τον προϊστάμενο ενός υπαλλήλου ή έναν εργαζόμενο του τμήματος IT και να αποκτήσουν πρόσβαση σε συστήματα, όπως υποστήριξε.

Η Anthropic έχει δηλώσει ότι το Mythos είναι τόσο ισχυρό που δεν θα κυκλοφορήσει δημόσια, και διατίθεται μόνο σε μια ομάδα 40 οργανισμών, συμπεριλαμβανομένων εταιρειών τεχνολογίας όπως η Microsoft, η Apple και η Google, καθώς και άλλων όπως η εταιρεία κυβερνοασφάλειας Crowdstrike και η τράπεζα JPMorgan Chase, ώστε να χρησιμοποιούν την τεχνολογία για τη βελτίωση της δικής τους υποδομής ασφαλείας μέσω μιας πρωτοβουλίας που ονόμασαν Project Glasswing. Δεδομένου ότι πολλοί άνθρωποι έχουν πρόσβαση στο μοντέλο, ο Lindner προέβλεψε επίσης ότι δεν θα παραμείνει μυστικό για πολύ. «Ακόμα κι αν, κατά την ορολογία τους, δεν το κυκλοφορήσουν, η Κίνα θα έχει μια έκδοση σε πέντε ή έξι μήνες, και θα υπάρχει μια έκδοση ανοιχτού κώδικα μέσα σε ένα ή δύο χρόνια», ανέφερε.

Αξίζει να σημειωθεί ότι το Fortune ήταν το πρώτο που αποκάλυψε την ανάπτυξη του Mythos, χάρη σε μια παράλειψη ασφαλείας όπου η εταιρεία άφησε λεπτομέρειες για το μεγάλο γλωσσικό μοντέλο σε μια δημόσια προσβάσιμη βάση δεδομένων. Εν τω μεταξύ, ο venture capitalist Marc Andreessen έχει εγείρει ερωτήματα σχετικά με το αν η Anthropic πραγματικά συγκρατεί την κυκλοφορία του Mythos λόγω ανησυχιών ασφαλείας ή επειδή δεν διαθέτει την υπολογιστική ισχύ για να υποστηρίξει μια γενική διάθεση. Η Anthropic έχει αντιμετωπίσει συχνές διακοπές λειτουργίας πρόσφατα και έχει περιορίσει την παροχή υπολογιστικής ισχύος στους χρήστες κατά τις ώρες αιχμής, όπως ανέφερε η Wall Street Journal αυτό το Σαββατοκύριακο.

Παρόλα αυτά, άλλοι ειδικοί κυβερνοασφάλειας παραμένουν σε επαγρύπνηση σχετικά με το Mythos και τις δυνατότητές του να αναδιαμορφώσει την κυβερνοασφάλεια. Ο Zach Lewis, ο chief information officer και chief information security officer στο University of Health Sciences and Pharmacy στο St. Louis, δήλωσε στο Fortune ότι ανησυχεί πως το Mythos θα διευκολύνει τους κακόβουλους δράστες, ακόμη και αυτούς με περιορισμένη εμπειρία στον προγραμματισμό, να εκμεταλλευτούν τα συστήματα. «Οι κυβερνοεγκληματίες δεν χρειάζεται καν να γνωρίζουν — δεν χρειάζεται να έχουν υπόβαθρο — προγραμματισμό ή σχεδιασμό λογισμικού για να κατανοήσουν πώς λειτουργούν αυτά τα συστήματα. Μπορούν να αναπτύξουν έναν πράκτορα που θα το κάνει γι’ αυτούς», ανέφερε.

Μέρος της λύσης για τους οργανισμούς μπορεί να έγκειται στην ενίσχυση των στρατηγικών που ήδη αποτρέπουν εκατοντάδες, αν όχι χιλιάδες, απόπειρες εκμετάλλευσης καθημερινά, σύμφωνα με τον Lewis. Αυτό περιλαμβάνει την επιδιόρθωση υπαρχουσών ευπαθειών και τη διασφάλιση ότι οι άδειες που έχουν οι υπάλληλοι είναι αυστηρά περιορισμένες, ώστε να μην μπορούν να εκμεταλλευτούν. «Πρέπει να κλειδώσετε αυτά τα πράγματα», κατέληξε.