Anthropic ogłosiło, że udostępnia swój model AI, Claude Mythos Preview, tylko wybranej grupie firm, po tym jak nowy model wykrył tysiące krytycznych luk w systemach operacyjnych, przeglądarkach internetowych i innym oprogramowaniu.
Nowy model ogólnego przeznaczenia, jak podało Anthropic, wykrył również poważne luki bezpieczeństwa w każdym głównym systemie operacyjnym i przeglądarce internetowej.
„Biorąc pod uwagę tempo postępu AI, wkrótce takie możliwości będą się szerzyć, potencjalnie poza zasięgiem podmiotów, które zobowiązały się do ich bezpiecznego wdrażania.”
AI zostało już wykorzystane przez hakerów do przeprowadzania cyberataków. Według AllAboutAI, odnotowano 72% wzrost liczby cyberataków wspieranych przez AI rok do roku, a 87% globalnych organizacji doświadczy cyberataków z wykorzystaniem AI w 2025 roku.
Anthropic wyraziło obawy, co by się stało, gdyby podobne możliwości AI zostały wykorzystane przez złe podmioty.
Aby temu zaradzić, Anthropic ogłosiło we wtorek Project Glasswing, nową inicjatywę, która gromadzi ponad 40 firm, w tym Amazon Web Services, Apple, Cisco, Google, JPMorgan, Linux Foundation, Microsoft i Nvidia.
Project Glasswing wykorzysta możliwości Claude Mythos Preview do defensywnego znajdowania błędów, udostępniania danych swoim partnerom i wyprzedzania zagrożeń poprzez łatanie krytycznych luk, zanim złe podmioty będą mogły je wykorzystać.
Luka zero-day to błąd w oprogramowaniu, który może zostać wykorzystany, zanim ktokolwiek, kto jest w stanie go naprawić, w ogóle dowie się o jego istnieniu. Znajdowanie i łatanie ich historycznie wymagało rzadkiej, kosztownej ludzkiej wiedzy, ale AI może zmienić skalę i szybkość wykrywania.
Anthropic stwierdziło, że wykryte luki są „często subtelne lub trudne do wykrycia.”
Wiele z nich ma 10 lub 20 lat, a najstarszy dotychczas znaleziony to załatany już 27-letni błąd w OpenBSD — systemie operacyjnym znanym głównie z bezpieczeństwa, dodała firma.
Wykryto również 16-letni błąd w bibliotece przetwarzania mediów FFmpeg, 17-letnią lukę w zdalnym wykonaniu kodu w otwartym systemie operacyjnym FreeBSD oraz liczne luki w jądrze Linuksa.
Powiązane: Akcje firm cyberbezpieczeństwa spadają po tym, jak Anthropic zaprezentowało Claude Code Security
Mythos Preview zidentyfikował również kilka słabych punktów w najpopularniejszych na świecie bibliotekach kryptograficznych, algorytmach i protokołach, w tym TLS, AES-GCM i SSH.
Dodało, że aplikacje internetowe „zawierają niezliczone luki”, począwszy od cross-site scripting i SQL injection, po luki specyficzne dla domeny, takie jak cross-site request forgery, często wykorzystywane w atakach phishingowych.
Anthropic twierdziło, że 99% wykrytych luk nie zostało jeszcze załatanych, „dlatego ujawnianie ich szczegółów byłoby z naszej strony nieodpowiedzialne”.
Anthropic stwierdziło, że to prawdopodobnie dopiero początek trendu, a „praca nad obroną światowej infrastruktury cybernetycznej może zająć lata”, ale AI pomoże wzmocnić oprogramowanie i systemy.
„W dłuższej perspektywie spodziewamy się, że możliwości obronne zdominują: że świat stanie się bezpieczniejszy, z lepiej zabezpieczonym oprogramowaniem — w dużej mierze dzięki kodowi napisanemu przez te modele. Okres przejściowy będzie jednak trudny.”
Magazyn: Nikt nie wie, czy kryptografia odporna na kwantowo w ogóle zadziała
