Οι νέες κυκλοφορίες της Anthropic, μιας εταιρείας τεχνητής νοημοσύνης, έχουν πυροδοτήσει φόβους για μια “αποκάλυψη” λογισμικού. Η εταιρεία ανακοίνωσε ότι δεν θα διαθέσει το νέο της μοντέλο, Claude Mythos Preview, στο κοινό, εκφράζοντας ανησυχίες ότι θα μπορούσε να προκαλέσει χάος στον κόσμο της κυβερνοασφάλειας.

Σε ανακοίνωσή της, η Anthropic αποκάλυψε ότι το Mythos έχει τη δυνατότητα να εντοπίζει, να αναλύει και να εκμεταλλεύεται αυτόνομα ευπάθειες λογισμικού σε μεγάλη κλίμακα, σε ορισμένες περιπτώσεις δε, καλύτερα από τους ανθρώπους. Η εταιρεία χαρακτήρισε το γεγονός ως “στιγμή-ορόσημο”, καθώς το Mythos είναι τόσο ισχυρό που ακόμη και επαγγελματίες εκτός του τομέα της κυβερνοασφάλειας θα μπορούσαν να το χρησιμοποιήσουν για να εντοπίζουν και να εκμεταλλεύονται εξελιγμένες ευπάθειες.

Ειδικοί στον κυβερνοχώρο σχολίασαν ότι, παρόλο που η ανακοίνωση της Anthropic περιέχει σκόπιμη προωθητική γλώσσα, το μοντέλο φαίνεται να αντιπροσωπεύει ένα σημαντικό άλμα στις δυνατότητες της τεχνητής νοημοσύνης στον κυβερνοχώρο. Ο Jake Moore, παγκόσμιος ειδικός στην κυβερνοασφάλεια της ESET, δήλωσε: “Η Anthropic έχει χτίσει τη φήμη της ως η εταιρεία τεχνητής νοημοσύνης που δίνει προτεραιότητα στην ασφάλεια, οπότε ανακοινώσεις όπως αυτή εξυπηρετούν δύο σκοπούς: γνήσια προσοχή και σηματοδότηση της στάσης της ως προς την ασφάλεια. Ουσιαστικά, αυτό το μοντέλο φαίνεται απίστευτα εντυπωσιακό και θα βελτιώνεται μόνο με την πάροδο του χρόνου.”

Κατά τη διάρκεια της περιόδου δοκιμών, το Mythos εντόπισε “χιλιάδες” κρίσιμες αδυναμίες ασφαλείας, συμπεριλαμβανομένων ευπαθειών μηδενικής ημέρας (zero-day vulnerabilities), για τις οποίες δεν υπάρχουν άμεσες λύσεις. Ο Ofer Amitai, συνιδρυτής της startup Onit Security, σημείωσε ότι για σύγκριση, ελίτ ομάδες ανθρώπων που εργάζονται σε αυτά τα προβλήματα ανακαλύπτουν περίπου 100 τέτοιες ευπάθειες ετησίως. “Έτσι, είναι περίπου 10-100 φορές η παραγωγή μιας κορυφαίας ανθρώπινης ομάδας, και συμπιέζει την ανάπτυξη εκμετάλλευσης από εβδομάδες σε ώρες,” πρόσθεσε.

Τα μεγάλα γλωσσικά μοντέλα (LLMs), η τεχνολογία πίσω από την τεχνητή νοημοσύνη όπως το Mythos, έχουν καταστεί εξαιρετικά ικανά στη δημιουργία κώδικα, καθώς ο κώδικας βασίζεται σε αυστηρούς κανόνες και μοτίβα. Αυτό ισχύει και για την κυβερνοασφάλεια, σύμφωνα με τον Erik Bloch, αντιπρόεδρο της τμήματος ασφάλειας πληροφοριών στην Ilumio. “Τα LLMs είναι ουσιαστικά μηχανές γλώσσας, και ο κώδικας είναι απλώς μια άλλη γλώσσα,” δήλωσε ο Bloch. “Γι’ αυτό δεν προκαλεί έκπληξη το γεγονός ότι μπορούν να βρουν σφάλματα και ευπάθειες που διαφεύγουν από τους ανθρώπους ή τα εργαλεία που βασίζονται σε κανόνες, ειδικά ανεπαίσθητα, λογικά ζητήματα.”

Ωστόσο, υπάρχουν ερωτήματα σχετικά με το κόστος και την επεκτασιμότητα. Η Anthropic ανέφερε ότι ο εντοπισμός μιας ευπάθειας 27 ετών σε ένα λειτουργικό σύστημα κόστισε 20.000 δολάρια, αφού το Mythos λειτούργησε χιλιάδες φορές. “Δεδομένου του κόστους, επεκτείνεται;” αναρωτήθηκε ο Kev Breen, ανώτερος διευθυντής έρευνας απειλών στον κυβερνοχώρο στην Immersive. “Από πού ξεκινάς; Οι άνθρωποι κλιμακώνονται πιο οικονομικά από τους πράκτορες AI;”

Η κυβερνοασφάλεια είναι ένα συνεχές παιχνίδι γάτας-ποντικιού μεταξύ αυτών που προσπαθούν να εισβάλουν και αυτών που προσπαθούν να αποτρέψουν τους επιτιθέμενους. Ποια πλευρά ωφελείται περισσότερο από το Mythos; Σε έναν κόσμο όπου ένα εργαλείο όπως το Mythos θα ήταν δημόσια διαθέσιμο, οι επιτιθέμενοι θα ωφελούνταν περισσότερο βραχυπρόθεσμα, σύμφωνα με τους ειδικούς στην κυβερνοασφάλεια. “Μπορούν να δημιουργήσουν εξαιρετικά στοχευμένες επιθέσεις phishing, πειστικά deepfakes, ή λειτουργικές αλυσίδες εκμετάλλευσης με το πάτημα ενός κουμπιού,” δήλωσε ο Mike Britton, επικεφαλής πληροφορικής στην Abnormal AI. Στη συνέχεια, καθώς οι αμυντικοί θα υιοθετούσαν τέτοια εργαλεία, θα αποκτούσαν το πλεονέκτημα. “Εργαλεία χτισμένα σε δυνατότητες της κλάσης Mythos θα τους επιτρέψουν να εντοπίζουν, να ταξινομούν και να επιδιορθώνουν ευπάθειες πολύ ταχύτερα καθ’ όλη τη διάρκεια του κύκλου ζωής, μετατοπίζοντας το πλεονέκτημα πίσω προς την άμυνα,” δήλωσε ο Amitai.

Η Anthropic ανέφερε ότι οι δικές της δοκιμές στο Mythos περιλάμβαναν την ενθάρρυνση της τεχνητής νοημοσύνης να “ξεφύγει” από ένα εικονικό sandbox. Ένας ερευνητής της Anthropic δήλωσε ότι στη συνέχεια έλαβε “ένα απροσδόκητο email από το μοντέλο ενώ έτρωγε ένα σάντουιτς στο πάρκο.” “Αν οι δυνατότητες που παρουσιάζονται εδώ είναι πραγματικά ουσιαστικές και όχι προωθητική υπερβολή, τότε προσωπικά έχω σοβαρές ανησυχίες για το πού θα καταλήξουμε,” δήλωσε ο Dan Andrew, επικεφαλής ασφαλείας στην Intruder.

Προς το παρόν, η Anthropic διαθέτει μια προεπισκόπηση του Claude Mythos σε επιλεγμένες εταιρείες, συμπεριλαμβανομένων των Google, Microsoft, JPMorgan Chase και CrowdStrike, για να τη δοκιμάσουν σε ελεγχόμενο περιβάλλον, σε αυτό που ονομάζει “Project Glasswing”. “Οι συνέπειες — για τις οικονομίες, τη δημόσια ασφάλεια και την εθνική ασφάλεια — θα μπορούσαν να είναι σοβαρές,” δήλωσε η Anthropic. “Το Project Glasswing είναι μια επείγουσα προσπάθεια να τεθούν αυτές οι δυνατότητες σε εφαρμογή για αμυντικούς σκοπούς.” Ο Andrew ανέφερε ότι, αν και αυτό ακούγεται “τρομακτικό”, πιστεύει ότι η Anthropic αντιλαμβάνεται τον κίνδυνο ως πραγματικό, επειδή “δεν είναι οι χειρότεροι παραβάτες όσον αφορά την υπερβολή έναντι της ουσίας.”