Anthropic sier at deres nyeste AI-modell kan avsløre svakheter i programvaresikkerhet

Anthropic sa tirsdag at deres ennå ikke utgitte kunstig intelligensmodell kalt Claude Mythos har vist seg svært dyktig til å avsløre programvaresvakheter.
Mythos har avdekket tusenvis av sårbarheter i vanlig brukte applikasjoner der det ikke finnes noen patch eller løsning, noe som har fått den San Francisco-baserte AI-startupen til å danne en allianse med cybersikkerhetseksperter for å styrke forsvaret mot hacking og tilbakeholde bred distribusjon.
«Vi har en ny modell som vi eksplisitt ikke slipper til offentlig,» sa Mike Krieger fra Anthropic Labs på en HumanX AI-konferanse i San Francisco.
I stedet lar Anthropic cybersikkerhetseksperter og ingeniører i open-source-samfunnet jobbe med Mythos for å bruke modellen som et defensivt våpen «slags ruste dem på forhånd», forklarte Krieger.
Fremskritt i AI-modellens muligheter har kommet med bekymringer om at hackere vil bruke slike verktøy til å finne ut passord eller knekke kryptering som er ment å holde data trygge.
Den eldste av sårbarhetene som Mythos har avdekket, er 27 år gammel, og ingen ble tilsynelatende oppdaget av produsentene før de ble pekt ut av AI-modellen, ifølge Anthropic.
Mythos er den nyeste generasjonen av Anthropics Claude-familie av AI, og en nylig lekkasje av noe av koden har fått startupen til å utgi et blogginnlegg som advarer om at den utgjør enestående cybersikkerhetsrisikoer.
«AI-modeller har nådd et nivå av kodingskapasitet der de kan overgå alle bortsett fra de dyktigste menneskene når det gjelder å finne og utnytte programvaresårbarheter,» sa Anthropic i et blogginnlegg. «Konsekvensene – for økonomier, offentlig sikkerhet og nasjonal sikkerhet – kan bli alvorlige.»
Programvaresårbarheter som Mythos har avdekket, er ofte subtile og vanskelige å oppdage uten AI, ifølge Anthropic. Som et eksempel sa den at Mythos fant en tidligere uoppdaget feil i videoprogramvare som hadde blitt testet mer enn 5 millioner ganger av skaperne.
Som en forholdsregel har Anthropic delt en versjon av Mythos med cybersikkerhetsselskaper CrowdStrike og Palo Alto Networks, samt med Amazon, Apple og Microsoft, i et prosjekt den har døpt «Glasswing».
Nettverksgigantene Cisco og Broadcom deltar i prosjektet, sammen med Linux Foundation, som fremmer det gratis, åpen kildekode Linux-operativsystemet.
«Dette arbeidet er for viktig og for presserende til å gjøre alene,» sa Anthony Grieco, Ciscos sjef for sikkerhet og tillit, i en felles uttalelse om Glasswing. «AI-muligheter har krysset en terskel som fundamentalt endrer hastigheten som kreves for å beskytte kritisk infrastruktur mot cybertrusler, og det er ingen vei tilbake.»
Omtrent 40 organisasjoner som er involvert i design, vedlikehold eller drift av datasystemer, sies å ha sluttet seg til Glasswing. Prosjektpartnere skal dele sine Mythos-funn, ifølge Anthropic, som stiller til rådighet rundt 100 millioner dollar i databehandlingsressurser for oppdraget. Tidlig arbeid med AI-modeller har vist at de kan bidra til å finne og fikse programvare- og maskinvaresårbarheter i et tempo og omfang som tidligere ikke var mulig, ifølge Grieco.
«Tidsvinduet mellom oppdagelsen av en sårbarhet og utnyttelsen av den av en angriper har kollapset – det som en gang tok måneder, skjer nå på få minutter med AI,» sa Crowdstrikes sjefteknolog, Elia Zaitsev.
«Claude Mythos Preview demonstrerer hva som nå er mulig for forsvarere i stor skala, og angripere vil uunngåelig se etter å utnytte de samme mulighetene,» la han til.
Anthropic sier at de har hatt diskusjoner med den amerikanske regjeringen angående Mythos til tross for et påbud fra Det hvite hus i februar om å avslutte alle kontrakter med startupen. Det påbudet ble satt på vent av en føderal dommer mens en rettslig utfordring fra Anthropic jobber seg gjennom domstolene.