На прошлой неделе компания Anthropic вызвала панику во всей отрасли, анонсировав Claude Mythos Preview, модель искусственного интеллекта, способную обнаруживать уязвимости кибербезопасности высокого уровня.
Среди своих достижений модель обнаружила уже исправленную уязвимость в OpenBSD, операционной системе, известной своей безопасностью, которая, по словам Anthropic, оставалась незамеченной в течение 27 лет.
По данным компании, компания также обнаружила «тысячи дополнительных серьезных и критических уязвимостей» в программах с открытым и закрытым исходным кодом.
Технические эксперты и другие эксперты впоследствии пришли в ужас от возможности того, что большая языковая модель нарушит кибербезопасность, но один ветеран отрасли с 25-летним стажем настроен скептически.
Дэвид Линднер, директор по информационной безопасности компании Contrast Security, рассказал Fortune, что, хотя Mythos может помочь найти бесчисленное множество проблем, эта не обязательно является самой важной.
«У нас никогда не было проблем с поиском уязвимостей. Мы находим их каждый день. На самом деле у нас их много, и мы просто не исправляем», — сказал он. «Поэтому я не думаю, что это действительно что-то меняет».
Линднер отметил, что слабые места легче найти, чем исправить, отметив, что в сообщении в блоге Anthropic, анонсирующем Mythos, утверждается, что более 99% уязвимостей, обнаруженных моделью, не исправлены.
В частности, по его словам, Mythos мало что делает для решения одной из самых больших проблем, стоящих перед экспертами по кибербезопасности: социальной инженерии. Хакеры по-прежнему могут использовать существующие инструменты и искусственный интеллект, чтобы выдать себя за начальника сотрудника или ИТ-специалиста и получить доступ к системам, утверждает он.
Anthropic заявила, что Mythos настолько мощна, что не будет опубликована публично и будет доступна только группе из 40 организаций, включая технологические компании, такие как Microsoft, Apple и Google, а также другие, такие как компания по кибербезопасности CrowdStrike и банк JPMorgan Chase, чтобы они могли использовать эту технологию для улучшения своей собственной инфраструктуры безопасности в рамках проекта под названием Project Glasswing.
Поскольку доступ к модели имеет очень много людей, Линднер также предсказал, что она не будет долго оставаться в секрете.
«Даже если, цитирую-без кавычек, они его не выпустят, у Китая будет версия через пять или шесть месяцев, а версия с открытым исходным кодом появится в течение года или двух», — сказал он.
Кстати, Fortune первой сообщила о разработке Mythos благодаря брешью в безопасности, при которой компания оставила подробности о большой языковой модели в общедоступной базе данных.
Тем временем венчурный капиталист Марк Андриссен поднял вопрос о том, действительно ли Anthropic откладывает запуск Mythos по соображениям безопасности или потому, что ей не хватает вычислительной мощности для поддержки общего запуска. В последнее время Anthropic сталкивалась с частыми сбоями в работе и ограничивала вычислительные мощности пользователей в часы пик, сообщила в эти выходные газета Wall Street Journal.
Тем не менее, другие эксперты по кибербезопасности по-прежнему внимательно относятся к Mythos и его потенциалу изменить кибербезопасность. Зак Льюис, директор по информационным технологиям и директор по информационной безопасности Университета медицинских наук и фармации в Сент-Луисе, рассказал Fortune, что его беспокоит то, что Mythos значительно облегчает злоумышленникам, даже тем, у кого мало опыта программирования, возможность взлома систем.
«Злоумышленникам даже не нужно знать (им не нужно иметь опыт) кодирования или проектирования программного обеспечения, чтобы понять, как работают эти системы. Они могут развернуть агента, который сделает это за них», — сказал он.
По мнению Льюиса, частью решения для организаций может стать усиление стратегий, которые уже препятствуют сотням, если не тысячам, попыток взлома в день.
Это включает в себя исправление существующих уязвимостей и обеспечение того, чтобы разрешения, которые имеют сотрудники, были строго ограничены, чтобы их нельзя было использовать.
«Эти вещи должны быть заблокированы», – сказал он.
