Het krachtigste model van Anthropic tot nu toe, Claude Mythos Preview (ook bekend als Mythos), wordt beschreven als een „doorbraak“ op het gebied van AI-prestaties, met name bij taken op het gebied van cyberbeveiliging.
Anthropic probeerde Mythos tot een paar weken geleden geheim te houden, toen een datalek het bestaan onthulde van wat volgens het bedrijf zijn krachtigste kunstmatige intelligentie tot nu toe was. Het model wordt gezien als zowel een krachtig defensief instrument als, mogelijk, een serieus offensief cyberwapen.
Om die reden beperkt het bedrijf de toegang sterk en geeft het aan dat het op dit moment niet van plan is het op grote schaal op de markt te brengen. Het vermogen waarmee het naar verluidt op grote schaal zelfstandig softwarekwetsbaarheden kan opsporen en zelfs aan elkaar kan koppelen, vormt de kern van zowel de hype als het gevaar.
Stel je een tool voor die zelfstandig nieuwe kwetsbaarheden in software, systemen en platforms kan opsporen en deze vervolgens kan omzetten in exploits, zelfs als daarvoor een combinatie met andere kwetsbaarheden nodig is.
In verkeerde handen zou dat een grote bedreiging voor onze cyberveiligheid kunnen vormen. Daarom heeft Anthropic de toegang beperkt tot een klein aantal organisaties wereldwijd, waaronder grote technologiebedrijven en een selecte groep overheids- of veiligheidsinstanties. Naar verluidt maakt de NSA al gebruik van Mythos Preview, blijkbaar om gevoelige systemen aan stresstests te onderwerpen en te beveiligen, ondanks het feit dat het Pentagon Anthropic als een risico voor de toeleveringsketen bestempelt.
Mythos kan kwetsbaarheden in omvangrijke codebases sneller en betrouwbaarder opsporen dan bestaande tools, en kan binnen één systeem naar meerdere kwetsbaarheden zoeken en deze combineren tot meerstaps-exploitketens om een systeem volledig te compromitteren (bijvoorbeeld door van een eenvoudige web-bug door te gaan naar een volledige overname van het domein). Het zou een bugbountyjager maanden kosten om nog een kwetsbaarheid te vinden, laat staan een die kan worden gekoppeld aan de reeds ontdekte(n). Het is hoogst onwaarschijnlijk dat dit zou lukken vóór de eerste.
In de praktijk zou dat kunnen betekenen dat aanvallen sneller plaatsvinden, inbreuken complexer worden en bedrijven minder tijd hebben om kwetsbaarheden te verhelpen voordat deze worden misbruikt.
Anthropic heeft zelf benadrukt dat Mythos gedurende langere tijd met minimale begeleiding kan functioneren, wat betekent dat het systematische aanvalscampagnes zou kunnen uitvoeren op een schaal die geen enkel menselijk team zou kunnen evenaren.
Anthropic heeft deze veiligheidsrisico’s in een intern document aan de orde gesteld:
- AI verlaagt de drempel voor aanvallende operaties. Minder ervaren actoren zouden toegang kunnen krijgen tot zeer effectieve middelen, waardoor het aantal geavanceerde aanvallen aanzienlijk zou toenemen.
- Technieken zoals fuzzing, woordenboekaanvallen en andere brute-force-methoden worden veel effectiever wanneer ze door automatisering worden versneld. Dankzij AI-ondersteunde iteratie kan een aanvaller veel meer pogingen ondernemen voordat de aanval wordt opgemerkt.
Maar de meest verontrustende conclusie was dat de aanvallende partij in de huidige fase van de AI-ontwikkeling sneller vorderingen maakt, en dat beveiligingsteams over het algemeen later AI-tools gaan gebruiken dan hun tegenstanders.
Zoals we weten, werkt AI op het gebied van cyberbeveiliging twee kanten op. Het helpt ons ons te verdedigen tegen nieuwe bedreigingen, maar het kan ook worden gebruikt om ze te creëren. Daarom kan Mythos, in verkeerde handen, een geduchte tegenstander blijken te zijn.
Het doel blijft hetzelfde, maar de weg ernaartoe wordt geëffend door tools als Mythos. Vanuit het perspectief van de aanvaller is er niets nieuws aan de bestemming. Het nieuwe is dat Mythos nu de route, het voertuig en het grootste deel van het rijden automatiseert.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
