Компания Anthropic ограничивает доступ к новой модели искусственного интеллекта Mythos из-за рисков злоупотребления. Инструмент способен выявлять критические уязвимости быстрее людей и автоматизированных систем. Эксперты предупреждают, что это может ускорить глобальную гонку кибероружия, передает Bloomberg.
Ограниченный доступ к Mythos из-за рисков безопасности
Anthropic заявила, что новая модель искусственного интеллекта Mythos не будет доступна широкой аудитории. Решение объясняют высоким уровнем потенциального злоупотребления инструментом в сфере кибербезопасности.
Компания планирует предоставлять доступ только ограниченному кругу проверенных партнеров в рамках отдельного проекта. Его цель — использование модели исключительно для оборонных задач и тестирования безопасности систем.
Обнаружение несанкционированного доступа к модели
Сразу после начала тестирования Mythos зафиксирован инцидент несанкционированного доступа. Небольшая группа пользователей получила доступ к модели через частный онлайн-форум. Это произошло в день объявления планов по ограниченному запуску инструмента.
Anthropic отмечает, что подобные инструменты могут стать оружием для злоумышленников, позволяя воровать данные или атаковать критическую инфраструктуру. Появление Mythos, как и аналогичных моделей, сигнализирует о новом этапе в развитии киберугроз — более быстрый и менее предсказуемый.
Технические возможности Mythos и уровень угрозы
Claude Mythos Preview позиционируется как модель общего назначения с улучшенными возможностями в кодировании и логическом анализе. По оценкам Anthropic, она значительно превышает предыдущие системы по ряду технических показателей.
Модель способна самостоятельно находить уязвимости в программном обеспечении без значительного вмешательства человека. Это включает как известные, так и неизвестные ранее ошибки в коде.
Масштаб обнаруженных уязвимостей
По данным компании, Mythos уже обнаружил тысячи уязвимостей типа "нулевого дня". Такие ошибки являются особенно опасными, поскольку не имеют готовых исправлений на момент обнаружения.
Среди найденных проблем — недостатки в популярных веб-браузерах и операционных системах. Отдельно отмечается, что некоторые из них оставались необнаруженными в течение десятилетий.
Anthropic называет появление Mythos "переломным моментом для безопасности". По данным компании, модель уже обнаружила даже 27-летнюю уязвимость в операционной системе OpenBSD, которая считалась одной из самых защищенных.
Потенциальная опасность эксплуатации найденных уязвимостей
Anthropic сообщает, что Mythos не только находит слабые места, но и может формировать на их основе рабочие эксплойты. Это означает возможность практического использования уязвимостей для атак на системы.
В тестах модель сочетала несколько недостатков в ядре Linux, что позволяло получить полный контроль над системой. Такие возможности существенно повышают риски кибератак.
В одном из тестов модель смогла обойти ограничения изолированной среды и попыталась получить доступ к интернету. Это усиливает опасения относительно возможных неконтролируемых сценариев ее использования.
Project Glasswing и круг партнеров
Для контролируемого использования Mythos создана инициатива Project Glasswing. К ней привлечены крупные технологические компании, финансовые учреждения и организации по кибербезопасности.
Среди участников — Amazon, Apple, Google, Microsoft, Nvidia, Cisco, Palo Alto Networks, CrowdStrike, JPMorganChase и Linux Foundation. Они будут применять модель для выявления слабых мест в своих системах.
Роль Mythos в киберзащите компаний
Компании уже используют практики penetration testing для поиска уязвимостей. Mythos может автоматизировать и ускорить этот процесс, увеличивая количество обнаруженных ошибок.
Anthropic заявляет, что результаты проекта будут частично открыты для отрасли. Это должно помочь другим компаниям повысить уровень киберзащиты.
Вопрос независимой проверки и эффективности
Исследователи отмечают, что пока не имели доступа для полной независимой проверки возможностей Mythos. Это затрудняет объективную оценку заявленной производительности. Эксперты подчеркивают необходимость практического тестирования в реальных условиях — без этого сложно определить фактический уровень риска и пользы модели.
Потенциальное преимущество защитников и риск для инфраструктуры
Anthropic считает, что Mythos может дать преимущество оборонной кибербезопасности. В то же время компания признает, что сейчас хакеры также активно используют ИИ.
"Мы видели, как они (защитные средства) достигли беспрецедентного уровня надежности и согласованности. Однако, в редких случаях, когда они давали сбой или вели себя странно, мы видели, как они принимали меры, которые нас достаточно беспокоили", — заявили в Anthropic.
Эксперты предупреждают, что время на реагирование на новые уязвимости сокращается. Главный исполнительный директор Palo Alto Networks Никеш Арора предупредил в блоге, что барьер для сложных атак будет продолжать уменьшаться в течение следующих шести месяцев, он добавил: "Один плохой актер теперь сможет проводить кампании, которые требовали целых команд".
Текущие ограничения и долгосрочные ожидания
На данный момент исправлено менее 1% обнаруженных уязвимостей Mythos. Это свидетельствует о разрыве между скоростью обнаружения и способностью устранять проблемы.
Anthropic ожидает, что в будущем такие модели повысят общий уровень безопасности программного обеспечения. В то же время компания признает, что переходный период будет сложным и рискованным.
"В долгосрочной перспективе мы ожидаем, что оборонительные возможности будут доминировать: мир станет безопаснее, а программное обеспечение будет лучше защищено — в значительной степени благодаря коду, написанному этими моделями. Но переходный период будет напряженным", — подытожила команда Anthropic Frontier Red в блоге.
Сейчас Агентство национальной безопасности США (АНБ) использует Mythos несмотря на то, что Министерство обороны считает ее "риском цепи поставок". Как именно АНБ применяет Mythos неизвестно, однако другие организации с помощью модели ищут уязвимости в собственных системах кибербезопасности.