AI jako detektor i hrozba. Anthropic upozorňuje na slabiny
Model Mythos Preview odhaluje tisíce zranitelností. Firma jej proto neotevřela veřejnosti a zapojila velké hráče do společného projektu.
Americký startup Anthropic oznámil nový model umělé inteligence Claude Mythos Preview, který dokáže autonomně vyhledávat bezpečnostní slabiny v IT systémech. Firma jej ale zatím nezveřejní, protože schopnosti považuje za potenciálně nebezpečné.
Místo toho vytvořila konsorcium Project Glasswing, do něhož zapojila velké technologické a bezpečnostní společnosti. Cílem je využít model výhradně k obraně a získat náskok při zabezpečování softwaru a infrastruktury.
Schopnosti, které mění tempo útoků
Podle Anthropic model identifikoval tisíce kritických zranitelností, včetně chyb v rozšířených operačních systémech a prohlížečích. Partneři jako Amazon, Apple, Google, Microsoft, Cisco nebo Crowdstrike mají k dispozici jeho testovací verzi.
Model byl původně trénován na práci s kódem, nikoli na kyberbezpečnost. „Vedlejším efektem je, že je velmi dobrý i v této oblasti,“ uvedl šéf firmy Dario Amodei. V testu na již známých slabinách prohlížeče Firefox dokázal Mythos vytvořit funkční útočné nástroje ve 181 případech, zatímco předchozí model uspěl jen dvakrát.
Zásadní je i rychlost. Podle firmy dokáže i běžný vývojář bez specializace zadat modelu úkol najít zranitelnosti a během jedné noci získat funkční exploit. „Okno mezi objevením chyby a jejím zneužitím se zhroutilo,“ uvedl technologický ředitel Crowdstrike Elia Zaitsev. To, co dříve trvalo měsíce, se nyní odehrává v minutách.
Ověření a obchodní kontext
Nezávislé ověření těchto schopností zatím chybí. Zapojení velkých firem ale naznačuje, že tvrzení nejsou nadsazená. Cisco uvedlo, že výsledky testů jsou „poučné“ a že hlavní práce teprve začíná.
Anthropic přichází s novým modelem v době silného růstu. Roční tempo tržeb dosahuje podle firmy 30 miliard dolarů a média spekulují o možném vstupu na burzu. Bezpečnostní iniciativa s renomovanými partnery může posílit její pozici vůči investorům.
Konkrétní případy ukazují rozsah schopností modelu. Mythos například odhalil 27 let starou chybu v systému OpenBSD, který je považován za vysoce bezpečný a používá se i v kritické infrastruktuře. Podobné nálezy se týkají i dalších běžných systémů.
Kdo bude reagovat na nová rizika
Podle Anthropic zůstává více než 99 procent nalezených zranitelností zatím neopravena. Opravy přitom mohou trvat, protože jejich analýza a implementace je časově náročná.
Firma proto zdůrazňuje nutnost širší spolupráce. „Budou vznikat ještě silnější modely. Potřebujeme plán, jak na to reagovat,“ uvedl Amodei. Project Glasswing má v pilotní fázi k dispozici až 100 milionů dolarů v kreditech na využití modelu, část prostředků směřuje i do open-source projektů.
Kritické hlasy upozorňují na paradox situace. Britský server The Register přirovnal krok firmy k „žháři rozdávajícímu hasicí přístroje“. Otázkou zůstává, jak rychle se podaří nově odhalené slabiny opravit a kdo ponese odpovědnost za řízení rizik, pokud se podobné nástroje rozšíří.
