Băncile globale, giganții tehnologici și guvernele s-au mobilizat luna trecută pentru a limita riscurile reprezentate de Mythos, modelul Anthropic despre care se spune că este atât de puternic încât a descoperit mii de vulnerabilități necunoscute până acum în infrastructura software mondială, potrivit CNBC.
Există însă o singură problemă: capacitatea care îi îngrijorează este deja prezentă.
Experții în securitate cibernetică și cercetătorii în inteligență artificială au declarat pentru CNBC că vulnerabilitățile software dezvăluite de Mythos pot fi găsite folosind modele existente, inclusiv cele de la Anthropic și OpenAI.
„Ceea ce observăm acum în întreaga industrie este că oamenii sunt capabili să reproducă vulnerabilitățile găsite cu Mythos printr-o orchestrare inteligentă a modelelor publice pentru a obține rezultate foarte, foarte similare”, a spus Ben Harris, CEO al firmei de securitate cibernetică watchTowr.
Mythos a șocat atât directorii executivi, cât și factorii de decizie, din cauza îngrijorării că s-ar putea apropia o nouă eră periculoasă a criminalității cibernetice bazate pe IA. Anthropic a limitat lansarea la câteva companii americane, printre care Apple, Amazon, JPMorgan Chase și Palo Alto Networks, pentru a reduce riscul ca persoanele rău intenționate să pună mâna pe el.
Chiar și cu această precauție, lansarea a determinat administrația Trump să ia în considerare o nouă supraveghere guvernamentală asupra modelelor viitoare.
Aceasta este cea mai recentă dintr-o serie de lansări de mare anvergură ale Anthropic, care au intensificat rivalitatea cu OpenAI, pe măsură ce cei doi giganți ai IA se apropie de ofertele publice inițiale mult așteptate. La câteva săptămâni după apariția Mythos, CEO-ul OpenAI, Sam Altman, a anunțat GPT-5.5-Cyber, un model special adaptat pentru securitatea cibernetică.
Joi, OpenAI a permis accesul limitat la GPT-5.5-Cyber pentru echipele de securitate cibernetică verificate.
Lansarea controlată a Mythos, parte a unei măsuri de securitate numită Project Glasswing, a avut scopul de a oferi lumii corporatiste timp să-și consolideze apărarea cibernetică împotriva unui val iminent de atacuri din partea grupurilor criminale și a națiunilor ostile.
„Pericolul constă într-o creștere enormă a numărului de vulnerabilități, a numărului de breșe de securitate și a pagubelor financiare cauzate de ransomware asupra școlilor, spitalelor, fără a mai menționa băncile”, a declarat săptămâna aceasta Dario Amodei, CEO al Anthropic, la un eveniment organizat de Anthropic.
Dar pentru cei care luptă în tranșeele războiului cibernetic, una dintre capacitățile cheie promovate de Anthropic — identificarea vulnerabilităților software la scară largă — există încă de anul trecut.
„Modelele pe care le avem în prezent sunt suficient de puternice pentru a detecta vulnerabilități zero-day la scară largă, iar acest lucru este destul de înfricoșător”, a declarat Klaudia Kloc, CEO al firmei de securitate cibernetică Vidoc, pentru CNBC.
Așa stau lucrurile de „câteva luni, dacă nu chiar de un an”, a spus ea.
Termenul „zero-day” se referă la o vulnerabilitate software necunoscută anterior, care nu a fost remediată, oferind atacatorilor o fereastră de oportunitate pentru a o exploata înainte ca apărătorii să poată reacționa.
Cercetătorii de la Vidoc s-au bazat pe o tehnică numită „orchestrare” pentru a testa dacă pot găsi aceleași vulnerabilități pe care le-a găsit Mythos. După cum sugerează și numele, procesul implică crearea unor fluxuri de lucru care împart codul în bucăți mai mici, coordonând diverse instrumente sau modele pentru a verifica rezultatele.
„Am rulat modele mai vechi pe aceeași bază de cod pentru a vedea dacă vom putea detecta aceleași vulnerabilități”, a spus Kloc. „ Am reușit, atât cu modelele mai vechi ale OpenAI, cât și cu cele ale Anthropic.”
O altă firmă de securitate cibernetică, Aisle, a constatat că multe dintre rezultatele de top ale Mythos puteau fi reproduse folosind modele mai ieftine care funcționează în paralel — sugerând că scara și coordonarea erau mai importante decât deținerea celui mai recent model.
„O mie de detectivi adecvați care caută peste tot vor găsi mai multe bug-uri decât un singur detectiv genial care trebuie să ghicească unde să caute”, a scris fondatorul Aisle, Stanislav Fort, într-o postare pe blog.
În comentariile adresate CNBC, Anthropic nu a contestat faptul că modelele anterioare erau capabile să găsească vulnerabilități software.
De fapt, a spus un purtător de cuvânt al companiei, Anthropic avertizează de luni de zile că capacitățile cibernetice ale IA avansează rapid. Aceștia au indicat o postare pe blog din februarie care arată că Claude Opus 4.6, un model disponibil pe scară largă, a găsit peste 500 de vulnerabilități de „severitate ridicată” în software-ul open-source.
La evenimentul Anthropic din această săptămână, Amodei a confirmat acest lucru, spunând că, deși amploarea vulnerabilităților software descoperite de Mythos a crescut față de modelele anterioare, tendința nu era nouă.
„Riscurile sunt foarte reale. De aceea am luat măsurile pe care le-am luat”, a spus Amodei. „Dar, într-un anumit sens, ele nu sunt chiar atât de surprinzătoare. … Primim avertismente în acest sens de ceva vreme.”
Ceea ce diferențiază Mythos este capacitatea sa de a face pasul următor, dezvoltând exploatări funcționale cu o intervenție umană minimă sau deloc, automatizând efectiv un proces care anterior necesita cercetători calificați, a spus purtătorul de cuvânt al Anthropic.
Dar hackerii care lucrează pentru grupuri criminale și națiuni ostile au deja acest set de competențe, spun cercetătorii în domeniul securității cibernetice. Hackerii din Coreea de Nord, China și Rusia „știu cum să facă acest lucru, cu sau fără Anthropic”, a spus Kloc.
Amenințarea reprezentată de hackingul bazat pe IA îi face pe reprezentanții corporațiilor și ai autorităților de reglementare să se îngrijoreze cu privire la protejarea sistemelor cruciale împotriva unui nou val de ransomware și a altor tipuri de atacuri, potrivit lui Harris.
El a descris discuțiile purtate în ultimele săptămâni cu bănci, asiguratori și autorități de reglementare ca fiind „isterie”.
Chiar înainte de apariția IA generative, corporațiile se confruntau cu problema hackerilor pricepuți care exploatau vulnerabilitățile nou descoperite în câteva ore, în timp ce remedierea codului durează adesea zile sau săptămâni. Unele remedieri necesită scoaterea offline a sistemelor cheie, ceea ce complică lucrurile.
„Industria intră în panică din cauza numărului de vulnerabilități cu care se confruntă acum”, a spus Harris. „Dar chiar și înainte ca Mythos să fie disponibil pe scară largă, acesta nu putea remedia vulnerabilitățile suficient de repede.”
Înainte, doar o mică parte din experții de la nivel global aveau capacitatea și timpul necesar pentru a găsi vulnerabilități obscure în software și a le exploata, potrivit lui Harris. Acum, folosind modelele de IA disponibile în prezent, barierele de intrare pentru a provoca haos cibernetic au fost reduse.
Asta înseamnă că băncile și alte ținte vor fi supuse unui număr mai mare de atacuri, iar sistemele software care anterior nu atrăgeau atât de mult interesul infractorilor cibernetici se vor confrunta acum cu amenințări, a spus Harris.
În timp ce Anthropic, OpenAI și alții lucrează la dezvoltarea unor capacități de apărare cibernetică proporționale cu problemele pe care le-au identificat, avantajul inițial revine ofensivei, nu apărării, spun cercetătorii.
Jamie Dimon de la JPMorgan a sugerat acest lucru când a spus luna trecută că, deși instrumentele de IA ar putea ajuta în cele din urmă companiile să se apere de atacurile cibernetice, acestea le fac mai întâi mai vulnerabile.
„Există o creștere semnificativă a volumului de vulnerabilități descoperite, dar se pare că nu au implementat un instrument care să vă ajute să le remediați”, a spus Justin Herring, partener la firma de avocatură Mayer Brown și fost adjunct executiv pentru securitate cibernetică la autoritatea de reglementare financiară din New York.
„Gestionarea vulnerabilităților este marea sarcină sisifică a securității cibernetice”, a spus Herring.
Grupul restrâns care a făcut parte din lansarea inițială a Mythos a avut un avantaj în remedierea vulnerabilităților, dar există și un dezavantaj. Cercetătorilor din domeniul IA nu li s-a acordat acces la Mythos pentru a verifica în mod independent afirmațiile Anthropic sau pentru a începe să construiască apărări împotriva acestuia.
Unii spun că acest lucru a împiedicat comunitatea cibernetică mai largă să facă parte din soluție.
S-au creat „niveluri de cei care au și cei care nu au”, ceea ce ar putea încetini ritmul inovației în domeniul securității cibernetice, a spus Pavel Gurvich, CEO al startup-ului de securitate cibernetică Tenzai, care utilizează modelele Anthropic.
Multe startup-uri de securitate cibernetică lucrează la soluții care pot ajuta companiile în această nouă eră a IA, a spus el.
„Încearcă să găsească cea mai bună modalitate de a repara lumea înainte ca acest lucru să devină accesibil lumii”, a spus Ben Seri, cofondator al startup-ului de securitate cibernetică Zafran Security. „Este o situație de genul oului și găinii, și vei sparge câteva ouă. Este inevitabil.”
| Știri BVB