Anthropic a anunțat săptămâna aceasta că lansarea noului model Claude Mythos Preview marchează un punct critic în evoluția securității cibernetice, reprezentând o amenințare existențială fără precedent pentru strategiile actuale de apărare software. Dar, este oare doar un hype AI sau un punct de cotitură real?
Conform Anthropic, Mythos Preview depășește un prag de capacități, fiind capabil să descopere vulnerabilități în practic orice sistem de operare, browser sau alt produs software și să dezvolte autonom exploit-uri funcționale pentru hacking. Având în vedere acest lucru, compania lansează noul model doar către câteva zeci de organizații deocamdată – inclusiv Microsoft, Apple, Google și Linux Foundation – ca parte a unui consorțiu numit Project Glasswing. Dar, după ani de speculații despre cum ar putea impacta inteligența artificială generativă securitatea cibernetică, știrile din această săptămână au aprins controverse despre dacă a sosit cu adevărat o reconfigurare majoră și cum ar putea arăta aceasta în practică. Unii sunt extrem de sceptici cu privire la afirmațiile Anthropic. Ei susțin că agenții AI existenți pot deja ajuta utilizatorii să găsească și să exploateze vulnerabilități mult mai ușor și mai ieftin decât oricând și că această realitate alimentează îmbunătățiri în modul în care companiile descoperă și își corectează software-ul, fără a schimba fundamental paradigma. Și apoi este factorul neplăcut că Anthropic va beneficia aproape sigur financiar de pe urma poziționării celui mai recent model al său ca fiind misterios, unic, puternic și exclusiv.
Alți cercetători și practicieni, totuși, spun că sunt de acord cu evaluarea Anthropic și subliniază că compania a spus că Mythos Preview este doar primul care atinge capacități care vor fi în cele din urmă disponibile pe scară largă în alte modele.
„De obicei sunt foarte sceptic cu privire la aceste lucruri, iar comunitatea open source tinde să fie foarte sceptică, dar simt fundamental că aceasta este o amenințare reală”, spune Alex Zenla, directorul de tehnologie al firmei de securitate cloud Edera.
Zenla și alții indică în mod specific o capacitate Mythos Preview ca punct de pivot. Inteligența artificială generativă, spun ei, devine acum mai capabilă să identifice și să dezvolte ceea ce sunt cunoscute sub numele de „lanțuri de exploit-uri” sau grupuri de vulnerabilități care pot fi exploatate în secvență pentru a compromite profund o țintă – în esență, un hacking în stilul mașinii Rube Goldberg. Multe dintre cele mai sofisticate tehnici de hacking utilizează lanțuri de exploit-uri, inclusiv așa-numitele atacuri de tip zero-click, care compromit un sistem fără a necesita nicio interacțiune din partea unui utilizator.
„Trăim deja într-o lume în care companiile rulează software vulnerabil, hardware vulnerabil și se luptă să corecteze. Multe companii nu sunt capabile să-și securizeze infrastructura – asta nu s-a schimbat cu adevărat de ieri până azi”, spune inginerul și cercetătorul de securitate Niels Provos. „Dar, din ceea ce înțeleg, Mythos este foarte bun la a găsi vulnerabilități în mai multe etape și apoi oferă și dovada exploatării. Nu cred că schimbă în mod intrinsec spațiul problemei, dar schimbă nivelul de calificare necesar pentru a găsi aceste vulnerabilități și a le exploata.”
O lansare limitată a Mythos Preview către participanții la Project Glasswing oferă apărătorilor doar un mic timp de așteptare pentru a găsi puncte slabe în propriile sisteme folosind modelul și pentru a începe să se confrunte mai larg cu modul în care dezvoltarea software, ciclurile de actualizare și adoptarea corecțiilor trebuie să se schimbe înainte ca atacatorii să aibă acces pe scară largă la astfel de capacități.
Liderii din industrie par să ia în considerare avertismentul. Logan Graham, directorul echipei de evaluare de risc de la Anthropic, a declarat marți pentru WIRED că, pe măsură ce compania a contactat organizații despre Project Glasswing înaintea anunțului de săptămâna aceasta, apelurile telefonice au devenit din ce în ce mai scurte, deoarece potențiala amenințare devenea mai evidentă. „Aceasta este o problemă care implică toți dezvoltatorii de modele. Scopul nostru aici este doar de a da startul”, a spus Graham. „Este foarte important ca Mythos Preview să ajungă în mâinile apărătorilor pentru a le oferi un avantaj.”
Oamenii care iau în considerare impactul Mythos Preview se extind cu mult dincolo de firmele de tehnologie. Bloomberg a raportat săptămâna aceasta că secretarul Trezoreriei SUA, Scott Bessent, și președintele Rezervei Federale, Jerome Powell, au convocat marți o întâlnire a liderilor sectorului financiar la sediul Trezoreriei din Washington, DC, pentru a discuta despre potențialul impact al modelelor precum Mythos Preview asupra securității cibernetice.
Jeetu Patel, președinte și director de produse al Cisco, care este membru al Project Glasswing, a declarat pentru WIRED la conferința HumanX AI de la San Francisco că Mythos Preview „este un lucru foarte, foarte important”.
„Pe termen lung, vrei să te asiguri că apărările tale sunt la scară de mașină, deoarece atacurile sunt la scară de mașină”, a spus Patel. „Dacă am miliarde de agenți care îmi vor ataca infrastructura, trebuie să mă asigur că o pot apăra eficient. Ceea ce a făcut Anthropic aici este un lucru fantastic, deoarece creează un nivel de asimetrie împotriva actorilor răi.”
Totuși, unii susțin că frenezia este exagerată – un fragment al ciclului general de hype AI. „Este ca orice spaghetti Western în care predicatorii mari spun că sfârșitul este aproape și apoi fug din oraș cu banii tuturor”, spune consultantul de securitate și conformitate Davi Ottenheimer. „Este o schimbare, ca și cum ai învăța să lupți cu mitraliere când alții încă folosesc puști cu boltă, dar nu este magic și mistic.”
Unii susțin, totuși, că, având în vedere cât de mult durează ca aceste schimbări de mentalitate să prolifereze în toate industriile și organizațiile, poate fi util să se profite de incidente sau progrese specifice ca o oportunitate de a crește gradul de conștientizare. Alte reconfigurări ale securității cibernetice au venit după încălcări catastrofale, cum ar fi atacurile Aurora asupra Google, care au evidențiat importanța arhitecturii „zero trust”, sau atacurile Solarwinds și Log4shell care au popularizat o abordare „securizată prin design” a dezvoltării software.
Anthropic susține că debutul Mythos Preview poate fi folosit ca un tip mai prudent de punct de inflexiune, deoarece este încă un avertisment a ceea ce ar putea veni, nu o demonstrație reală a unui scenariu catastrofal.
Experții în securitate spun, de asemenea, că momentul prezintă o oportunitate de a aborda neajunsurile în modul în care software-ul este dezvoltat în prezent. „De zeci de ani, am construit o industrie globală enormă pentru a apăra, detecta și răspunde la „vulnerabilități” – erori și defecte în software – care nu ar fi trebuit să existe niciodată”, a scris miercuri Jen Easterly, practiciana de securitate cibernetică de lungă durată și fostul director al Agenției SUA pentru Securitate Cibernetică și Infrastructură. Project Glasswing, susține ea, ar putea inaugura „un viitor în care AI ne ajută să depășim apărarea nesfârșită împotriva software-ului defectuos și să ne îndreptăm către construirea unei tehnologii care este mai sigură de la început. Nu sfârșitul securității cibernetice ca misiune, ci începutul sfârșitului securității cibernetice așa cum o cunoaștem.”
Zenla de la Edera subliniază că Mythos Preview nu este un fulger care va schimba totul peste noapte. În schimb, spune ea, este un alt pas către versiunea de securitate a maimuțelor infinite la mașini de scris infinite, care în cele din urmă produc Shakespeare. „Dacă ai un milion de cercetători de vulnerabilități, ei pot găsi un număr mare de erori. Dar oamenii nu sunt foarte buni la a ține în minte o mulțime de informații contextuale pentru perioade lungi de timp, așa că găsirea de lanțuri foarte lungi de vulnerabilități care pot fi de fapt exploatate împreună a fost rară”, spune ea. „Mythos și modelele de acest gen vor accelera ritmul în care atacatorii vor putea grupa vulnerabilitățile în seturi care pot funcționa împreună. Unii oameni vor fi supărați de asta mult timp, dar cred că dinamica s-a schimbat.”