Lansarea modelului AI Mythos al companiei Anthropic a declanşat îngrijorări majore în rândul băncilor, companiilor tehnologice şi autorităţilor de reglementare, după ce firma a susţinut că modelul poate identifica mii de vulnerabilităţi necunoscute din infrastructura software globală, relatează CNBC.
Totuşi, specialiştii în securitate cibernetică spun că această capacitate exista deja folosind modele mai vechi dezvoltate atât de Anthropic, cât şi de OpenAI.
Experţii citaţi de CNBC afirmă că vulnerabilităţile descoperite de Mythos pot fi reproduse prin ”orchestrarea” unor modele AI publice, mai vechi şi mai ieftine. Ben Harris, CEO al firmei watchTowr Labs, a declarat că cercetătorii reuşesc să obţină rezultate ”foarte similare” folosind combinaţii inteligente de modele existente.
Anthropic a limitat accesul la Mythos doar pentru câteva companii americane, printre care Apple, Amazon, JPMorgan Chase şi Palo Alto Networks, într-un program denumit Project Glasswing, menit să ofere corporaţiilor timp pentru consolidarea apărării cibernetice.
CEO-ul Anthropic, Dario Amodei, a avertizat că AI-ul poate provoca o explozie a vulnerabilităţilor software, a breşelor de securitate şi a atacurilor ransomware împotriva şcolilor, spitalelor şi băncilor.
Totuşi, cercetătorii din industrie spun că problema este deja prezentă de luni bune. Klaudia Kloc, CEO al firmei Vidoc, a afirmat că modelele existente sunt „suficient de puternice” pentru a detecta vulnerabilităţi de tip ”zero-day” la scară largă, iar acest lucru este deja „destul de înfricoşător”.
Termenul ”zero-day” descrie o vulnerabilitate software necunoscută public şi nepătată, care poate fi exploatată de atacatori înainte ca dezvoltatorii să reacţioneze.
Potrivit cercetătorilor, diferenţa majoră a modelului Mythos constă în capacitatea de a genera automat exploit-uri funcţionale fără intervenţie umană semnificativă. Însă grupările de hackeri asociate unor state precum North Korea, China sau Russia deţin deja astfel de competenţe.
Jamie Dimon, CEO-ul JPMorgan Chase, a declarat recent că instrumentele AI ar putea ajuta companiile să se apere în viitor, însă în prezent ele le fac mai vulnerabile.
Specialiştii spun că avantajul iniţial aparţine atacatorilor, nu apărătorilor. AI-ul accelerează descoperirea vulnerabilităţilor, în timp ce companiile au nevoie încă de zile sau săptămâni pentru a aplica actualizări şi patch-uri de securitate.
În plus, mai mulţi cercetători critică faptul că accesul restricţionat la Mythos a creat „o lume împărţită între cei privilegiaţi şi cei excluşi”, limitând capacitatea comunităţii globale de securitate cibernetică de a dezvolta rapid instrumente defensive.
