Apa itu Mythos AI dan mengapa bisa menjadi ancaman bagi keamanan siber global?

Anthropic telah mengesampingkan perilisan model AI terbarunya, Mythos, kepada publik karena ancaman yang ditimbulkannya terhadap keamanan siber global.

Namun, startup teknologi AS di balik chatbot Claude mengonfirmasi pada hari Rabu bahwa mereka sedang menyelidiki laporan bahwa sekelompok orang telah mendapatkan akses tidak sah ke Mythos. Dugaan insiden tersebut telah menimbulkan kekhawatiran atas kecepatan pengembangan dan kemampuan perusahaan teknologi untuk menjaga produk berisiko tinggi mereka keluar dari domain publik. Di sini, kami mengkaji Mythos dan potensi dampaknya.

Apa itu Mythos? Mythos adalah model AI – teknologi dasar yang menggerakkan alat seperti chatbot – yang, menurut Anthropic, mewakili ancaman potensial serius bagi keamanan siber organisasi mana pun. Anthropic mengumumkan keberadaan Mythos pada 7 April tetapi mengatakan bahwa itu tidak akan dirilis secara publik karena kemampuannya untuk mengidentifikasi kelemahan yang tidak diketahui dalam sistem TI. Kelemahan tersebut, secara teoritis, dapat dieksploitasi oleh peretas.

Anthropic mengatakan Mythos dapat mengidentifikasi dan mengeksploitasi kelemahan "zero-day" di setiap sistem operasi TI dan browser web yang penting – jika pengguna memintanya untuk melakukannya. Zero-day disebut demikian karena organisasi dan pengembang sama sekali tidak menyadarinya dan tidak punya waktu untuk menambalnya sebelum penyerang menyerang.

Anthropic menggambarkannya sebagai "momen penting bagi keamanan siber". Beberapa kelemahan yang tidak disadari telah ada selama beberapa dekade, kata perusahaan yang berbasis di San Francisco itu.

Startup tersebut telah mengizinkan perusahaan teknologi dan bank, termasuk Apple dan Goldman Sachs, untuk mengakses model tersebut dan menilai risiko apa yang dapat ditimbulkannya bagi bisnis dan pelanggan mereka.

Anthropic mengumumkan Project Glasswing pada 8 April untuk memungkinkan bisnis menguji Mythos pada keamanan siber. Foto: Samuel Boivin/NurPhoto/Shutterstock Mengapa ini menjadi perhatian? Mythos mewakili bukti nyata, menurut Institut Keamanan AI Inggris (AISI), dari kemampuan disruptif AI canggih. Sejak kedatangan ChatGPT OpenAI pada tahun 2022, para ahli telah memperingatkan bahwa AI dapat menyebabkan kerusakan dunia nyata yang serius.

Ada juga poin yang lebih luas: bahwa Mythos adalah indikasi kecepatan kemajuan dalam AI. Model canggih cenderung direplikasi dengan cepat oleh perusahaan lain, termasuk pengembang model open-source yang tersedia secara bebas untuk pengguna. Dalam surat bersama kepada para pemimpin bisnis bulan lalu, menteri teknologi Inggris, Liz Kendall, dan menteri keamanan, Dan Jarvis, mengatakan bisnis perlu "merencanakan dengan tepat" agar kemampuan AI "meningkat pesat" selama tahun depan. AI, tentu saja, juga dapat digunakan untuk bertahan melawan serangan siber.

Kekhawatiran lain adalah bahwa Mythos dapat jatuh ke tangan yang salah meskipun tidak dirilis ke publik. Ketakutan itu menjadi kenyataan minggu ini dengan Anthropic mengonfirmasi "segelintir" pengguna di forum online pribadi telah mendapatkan akses ke model tersebut.

Namun, ada juga pertanyaan tentang pentingnya ribuan kerentanan yang ditandai oleh Mythos. Bisakah mereka menyebabkan kerusakan serius? Ditambah lagi, menyoroti kelemahan TI tidak sama dengan mengeksploitasinya.

Apakah Mythos telah dinilai oleh para ahli? AISI, yang merupakan badan keamanan AI terkemuka di dunia, telah meninjau Mythos dan mengatakan bahwa itu adalah "peningkatan" dari model sebelumnya dalam hal ancaman terhadap keamanan siber. Di antara tanda bahaya adalah kemampuan untuk melakukan serangan yang melibatkan banyak langkah dan mengidentifikasi kelemahan TI tanpa panduan manusia.

Itu juga mencapai yang pertama di mata AISI: berhasil menyelesaikan simulasi serangan siber 32 langkah dalam pengujian yang dibuat oleh institut. Itu dapat menyerang sistem TI yang lemah dan kecil, kata AISI, meskipun tidak dapat memberikan keputusan pada sistem yang dipertahankan dengan baik. Institut tersebut mengakhiri penilaiannya dengan pengamatan yang sering dinyatakan di tempat lain: sistem AI hanya bisa menjadi lebih baik dari sini.

Richard Horne, kepala eksekutif Pusat Keamanan Siber Nasional Inggris, mengatakan pada konferensi CyberUK di Glasgow minggu ini bahwa munculnya Mythos akan membantu mendorong perusahaan untuk mengganti "teknologi usang". "Ini hanya mendorong urgensi," tambahnya.

Namun, para ahli lain mengatakan Mythos lebih merupakan evolusi daripada revolusi. Aisle, sebuah perusahaan yang bergerak di bidang keamanan siber AI, menganalisis klaim utama Anthropic: bahwa mereka telah menemukan ribuan kerentanan zero-day di sistem operasi dan browser besar, termasuk satu di FreeBSD, sepupu UNIX. Mereka menemukan bahwa model lain yang jauh lebih murah juga mampu menemukan masalah ini. Ini tidak berarti bahwa kemampuan Mythos tidak signifikan, kata mereka, tetapi bahwa ada lebih banyak nuansa daripada yang tersirat oleh nada mendesak Anthropic.

Ada juga kehati-hatian dari para ahli bahwa sebagian besar pelanggaran masih berasal dari risiko yang sudah mapan seperti otentikasi yang lemah dan kerentanan yang sudah diketahui yang belum ditambal.
Beberapa ahli menyarankan ada unsur sensasi seputar klaim Anthropic tentang Mythos dan bagaimana startup yang diperkirakan bernilai sekitar $800 miliar (£592 miliar) telah menyajikannya. Mythos tidak diragukan lagi adalah model yang cakap. Namun, pengumuman dramatis Anthropic telah memberikannya waktu tayang yang signifikan dan memusatkan produknya dalam diskusi yang lebih luas di seluruh bidang tentang bagaimana AI dapat berkontribusi pada risiko siber.

Bagaimana perusahaan teknologi dan bank terlibat? Sekitar 40 perusahaan, termasuk Google, JP Morgan, dan Goldman, telah diberikan akses awal ke Mythos melalui inisiatif yang disebut Project Glasswing, yang dimaksudkan untuk memberi bisnis kesempatan untuk menguji model AI sebagai bagian dari pertahanan siber mereka. Anthropic mengatakan mereka akan berbagi apa yang mereka pelajari "sehingga seluruh industri dapat memperoleh manfaat".

Namun, mitra peluncuran belum memberikan detail tentang apa yang mereka pikir mampu dilakukan Mythos, dan seberapa besar ancaman yang mungkin ditimbulkannya.

Hal itu belum menghentikan bank dan regulator untuk berspekulasi tentang potensi dampaknya. Dan untuk alasan yang bagus: jika peringatan Anthropic benar, Mythos jatuh ke tangan yang salah dapat menyebabkan kekacauan di bank dan berpotensi membahayakan sistem keuangan yang lebih luas.

Pemodelan pemerintah Inggris tentang skenario terburuk peretasan bank, yang diproduksi bahkan sebelum penciptaan Mythos, menunjukkan bahwa debit langsung dapat gagal, menyebabkan sewa, hipotek, dan gaji tidak dibayar, sementara perbankan online dan penarikan mesin ATM dapat diblokir. Komuter bisa dibiarkan dalam ketidakpastian karena bus dan pompa bensin menolak pembayaran. Hal itu dapat memicu kepanikan, yang menyebabkan penarikan dana dari pemberi pinjaman saingan, karena pelanggan menarik uang dari rekening mereka di tengah ketakutan bahwa gangguan tersebut dapat menyebar.

Kekhawatiran atas ancaman prospektif Mythos mendorong sekretaris perbendaharaan AS, Scott Bessent, untuk mengadakan pertemuan dengan para bos dari bank-bank besar Amerika, termasuk Goldman dan Citi, di Washington awal bulan ini.

Regulator Inggris telah menambahkan Mythos ke agenda pertemuan Cross Market Operational Resilience Group minggu ini. Hal ini menempatkannya dalam diskusi tingkat tinggi antara bankir senior serta pejabat dari Departemen Keuangan, Bank of England, Financial Conduct Authority, dan National Cyber Security Centre.