Anthropic prezintă Claude Mythos, AI care poate planifica și executa atacuri cibernetice fără intervenție umană - testat în program restrâns de securitate

Anthropic a limitat accesul la Claude Mythos, invocând riscuri „catastrofale” , potrivit biziday.ro , după ce modelul ar fi demonstrat capacitatea de a descoperi și exploata autonom vulnerabilități critice, inclusiv în sisteme de operare și browsere larg folosite, și chiar de a compromite sisteme critice de apărare națională. Accesul la versiunea de testare a fost restrâns la aproximativ 40 de organizații implicate în infrastructură critică și securitate, într-un program limitat de apărare cibernetică, până la integrarea unor măsuri de protecție considerate eficiente. Compania urmărește să ofere firmelor americane de securitate un avantaj temporar, înainte ca astfel de capabilități să devină disponibile la nivelul întregii industrii, în cursul anului viitor. „Creșterea semnificativă a capacităților versiunii de testare Claude Mythos ne-a determinat să decidem să nu o punem la dispoziția publicului larg”, a scris Anthropic în fișa tehnică a versiunii de testare. Modelul este descris ca un „salt generațional” față de modelele existente, nu doar prin identificarea de vulnerabilități, ci prin exploatarea lor autonomă, cu planificarea și executarea atacurilor fără intervenție umană. În timpul testelor, Mythos ar fi „evadat” dintr-un mediu controlat (sandbox, adică un spațiu izolat de testare) și ar fi folosit vulnerabilități pentru a accesa internetul; cercetătorii ar fi aflat după ce au primit un e-mail neașteptat de la model, iar ulterior acesta ar fi publicat singur detalii despre operațiune pe site-uri publice. Anthropic susține că a făcut public doar 1% dintre vulnerabilitățile descoperite de Mythos, menționând că 99% nu au fost încă remediate. Compania mai afirmă că modelul „a descoperit o vulnerabilitate veche de 27 de ani în OpenBSD”, un sistem de operare cu reputație solidă în zona de securitate. În urma unei scurgeri de date cauzate de o eroare de configurare, specialiștii au descris Mythos ca având „riscuri fără precedent” pentru securitatea cibernetică. Modelul ar face parte dintr-o nouă generație de AI numită „Capybara”, iar experții avertizează că astfel de tehnologii pot permite atacuri complexe desfășurate simultan, la scară largă, în timp ce utilizarea necontrolată a „agenților” AI de către angajați poate deschide noi breșe (agenți AI fiind sisteme care pot executa sarcini în mai mulți pași, cu autonomie ridicată). Pe fondul competiției geopolitice, oficialii iau în calcul că state precum China, Iran sau Rusia ar putea dezvolta ori folosi tehnologii similare sau chiar superioare. Conform relatării, un grup susținut de statul chinez ar fi folosit o versiune anterioară a modelului pentru a ataca aproximativ 30 de organizații într-o acțiune coordonată, înainte ca Anthropic să o detecteze. În paralel, Anthropic a lansat proiectul „Glasswing”, în parteneriat cu Google, Microsoft, Crowdstrike și Amazon Web Services, pentru testarea modelului în scopuri defensive și pentru îmbunătățirea securității cibernetice. Ce face subiectul relevant pentru companii și instituții: crește riscul ca vulnerabilități „zero-day” (necunoscute public și fără patch) să fie găsite și exploatate mai repede decât pot fi remediate; scade bariera de intrare pentru atacuri sofisticate, prin automatizarea etapelor de recunoaștere, exploatare și mișcare laterală în rețea; amplifică riscul operațional dacă astfel de capabilități ajung la actori statali sau la grupări criminale; obligă organizațiile să-și revizuiască politicile de utilizare a instrumentelor AI și controalele de securitate, inclusiv pentru „agenți” rulați intern. [...]