Antropický řekl toto týden, kdy debut nového modelu Claude Mythos Preview představuje kritický bod ve vývoji kybernetické bezpečnosti, který představuje bezprecedentní existenciální hrozbu pro stávající strategie softwarové obrany. Je to tedy spíše humbuk s umělou inteligencí – nebo skutečný bod obratu?
Podle společnosti Anthropic Mythos Preview překračuje práh schopností odhalit zranitelnosti prakticky jakéhokoli operačního systému, prohlížeče nebo jiného softwarového produktu a autonomně vyvíjet pracovní exploity pro hacking. S ohledem na tuto skutečnost společnost zatím uvolňuje nový model pouze několika desítkám organizací – včetně Microsoftu, Apple, Google a Linux Foundation – jako součást konsorcia nazvaného Project Glasswing. Ale po letech spekulací o tom, jak by generativní umělá inteligence mohla ovlivnit kybernetickou bezpečnost, rozpoutala tato zpráva tento týden polemiku o tom, zda skutečně došlo k zúčtování a jak by mohlo vypadat v praxi.
Někteří jsou k tvrzením Anthropic extrémně skeptičtí. Argumentují tím, že stávající agenti AI již mohou uživatelům pomoci najít a využít zranitelnosti mnohem snadněji a levněji než kdy dříve, a že tato realita podporuje zdokonalování v tom, jak společnosti objevují a opravují svůj software, aniž by zásadně změnily paradigma. A pak je tu neblahý faktor, že Anthropic bude téměř jistě finančně profitovat z umístění svého nejnovějšího modelu jako tajemného, jedinečně výkonného a exkluzivního. Jiní výzkumníci a praktici však říkají, že souhlasí s hodnocením Anthropic a poukazují na to, že společnost uvedla, že Mythos Preview je jen první, kdo dosáhl schopností, které budou nakonec široce dostupné v jiných modelech.
„Obvykle jsem k těmto věcem velmi skeptický a komunita open source bývá velmi skeptická, ale v zásadě mám pocit, že je to skutečná hrozba,“ říká Alex Zenla, technologický ředitel společnosti Edera pro cloudovou bezpečnost.
Zenla a další konkrétně poukazují na jednu možnost Mythos Preview jako stěžejní bod. Říká se, že generativní umělá inteligence je nyní schopnější identifikovat a vyvíjet to, co je známé jako „vykořisťovací řetězce“ nebo skupiny zranitelností, které lze postupně zneužít k hlubokému kompromitování cíle – v podstatě hackování ve stylu stroje Rube Goldberg. Mnoho z nejsofistikovanějších hackerských technik využívá řetězce exploitů, včetně tzv. zero-click útoků, které kompromitují systém, aniž by vyžadovaly jakoukoli interakci ze strany uživatele.
„Už žijeme ve světě, kde společnosti provozují zranitelný software, zranitelný hardware a mají potíže s opravami. Mnoho společností není schopno zabezpečit svou infrastrukturu – to se od včerejška do dneška ve skutečnosti nezměnilo,“ říká dlouholetý bezpečnostní inženýr a výzkumník Niels Provos. „Ale z toho, co jsem pochopil, Mythos je opravdu dobrý ve vymýšlení vícestupňových zranitelností a pak také poskytuje důkaz o zneužití. Nemyslím si, že to vnitřně mění problémový prostor, ale mění požadovanou úroveň dovedností k nalezení těchto zranitelností a jejich zneužití.“
Omezené vydání Mythos Preview pro účastníky projektu Glasswing poskytuje obráncům pouze krátký čas na to, aby našli slabá místa ve svých vlastních systémech pomocí tohoto modelu a začali se šířeji potýkat s tím, jak se vývoj softwaru, cykly aktualizací a přijímání oprav musí změnit, než útočníci sami získají široký přístup k takovým funkcím.
Zdá se, že lídři průmyslu dbají na varování. Vedoucí hraničního červeného týmu Anthropic, Logan Graham, v úterý pro WIRED řekl, že jak společnost oslovila organizace ohledně projektu Glasswing před oznámením tohoto týdne, telefonní hovory se zkracovaly a zkracovaly, protože potenciální hrozba byla stále zjevnější.
„Toto je problém, který se týká všech vývojářů modelů. Naším cílem je jen nastartovat věci,“ řekl Graham. „Je opravdu důležité, aby se Mythos Preview dostal do rukou obránců, aby získali náskok.“
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
