Anthropic heeft aangekondigd dat het zijn AI-model, Claude Mythos Preview, alleen uitrolt naar een selecte groep bedrijven nadat het nieuwe model duizenden kritieke kwetsbaarheden heeft ontdekt in besturingssystemen, webbrowsers en andere software.
Het nieuwe algemene model, zo stelde Anthropic, vond ook hoge-beveiligingskwetsbaarheden in elk belangrijk besturingssysteem en elke belangrijke webbrowser.
"Gezien de snelheid van AI-vooruitgang, zal het niet lang duren voordat dergelijke mogelijkheden zich verspreiden, mogelijk verder dan actoren die toegewijd zijn aan het veilig inzetten ervan."
AI is al gebruikt door hackers om cyberaanvallen uit te voeren. Er is een jaar-op-jaar toename van 72% geweest in door AI aangedreven cyberaanvallen, waarbij 87% van de wereldwijde organisaties in 2025 AI-gestuurde cyberaanvallen zal ervaren, volgens AllAboutAI.
Anthropic uitte haar bezorgdheid over wat er zou gebeuren als vergelijkbare AI-capaciteiten door kwaadwillende actoren zouden worden gebruikt.
Om dit tegen te gaan, kondigde Anthropic dinsdag Project Glasswing aan, een nieuw initiatief dat meer dan 40 bedrijven samenbrengt, waaronder Amazon Web Services, Apple, Cisco, Google, JPMorgan, de Linux Foundation, Microsoft en Nvidia.
Project Glasswing zal de capaciteiten van Claude Mythos Preview gebruiken om defensief bugs te vinden, de gegevens te delen met zijn partners en bedreigingen voor te zijn door kritieke kwetsbaarheden te patchen voordat kwaadwillende actoren deze kunnen misbruiken.
Een zero-day kwetsbaarheid is een softwarebug die kan worden misbruikt voordat iemand met de mogelijkheid om deze te repareren zelfs weet dat deze bestaat. Het vinden en patchen ervan heeft historisch gezien zeldzame, dure menselijke expertise vereist, maar AI zou de schaal en snelheid van detectie kunnen veranderen.
Anthropic zei dat de kwetsbaarheden die het vindt "vaak subtiel of moeilijk te detecteren" zijn.
Veel ervan zijn 10 of 20 jaar oud, waarbij de oudste tot nu toe een nu gepatchte 27 jaar oude bug in OpenBSD betreft — een besturingssysteem dat voornamelijk bekend staat om zijn beveiliging, zo voegde het toe.
Het vond ook een 16 jaar oude bug in de FFmpeg mediabibliotheek, een 17 jaar oude kwetsbaarheid voor remote code execution in het open-source FreeBSD besturingssysteem en talloze kwetsbaarheden in de Linux-kernel.
Gerelateerd: Cybersecurity-aandelen dalen na onthulling Anthropic's Claude Code Security
Mythos Preview identificeerde ook verschillende zwakke punten in 's werelds meest populaire cryptografiebibliotheken, algoritmen en protocollen, waaronder TLS, AES-GCM en SSH.
Het voegde eraan toe dat webapplicaties "een veelheid aan kwetsbaarheden bevatten", variërend van cross-site scripting en SQL-injectie tot domeinspecifieke kwetsbaarheden zoals cross-site request forgery, wat vaak wordt gebruikt bij phishing-aanvallen.
Anthropic beweerde dat 99% van de door hen gevonden kwetsbaarheden nog niet zijn gepatcht, "dus het zou onverantwoord zijn om hierover details openbaar te maken."
Anthropic zei dat dit waarschijnlijk slechts het begin is van een trend, en dat het "werk van het verdedigen van 's werelds cyberinfrastructuur jaren in beslag kan nemen," maar dat AI zal helpen software en systemen te versterken.
"Op de lange termijn verwachten we dat verdedigingscapaciteiten zullen domineren: dat de wereld veiliger zal worden, met beter geharde software – grotendeels door code geschreven door deze modellen. Maar de overgangsperiode zal zwaar zijn."
Magazine: Niemand weet of kwantumveilige cryptografie überhaupt zal werken
