Anthropicov novi model umjetne inteligencije, poznat kao Pregled Claudea MythosaPostala je epicentar globalne rasprave o granicama napredne umjetne inteligencije. Sama tvrtka priznaje da je sustav toliko moćan u smislu kibernetičke sigurnosti da je odlučila da ga neće široko lansirati, što je neobična odluka u sektoru naviknutom hvaliti se svakim novim napretkom.
U pitanju nije samo postupno poboljšanje u odnosu na prethodne modele, već kvalitativni skok u sposobnosti otkrivanja i iskorištavanja računalnih ranjivostiVlade, središnje banke, glavne financijske institucije i europski regulatori pomno prate slučaj, svjesni da bi takav alat mogao ojačati obranu kritičnih sustavaAli to bi također moglo otvoriti vrata napadima neviđenih razmjera ako bi palo u pogrešne ruke.
Što je točno Claude Mythos i zašto je njegovo lansiranje odgođeno?
Claude Mythos je jedan od najnovijih modela u obitelji Claude, Anthropicovom AI ekosustavu koji se natječe s OpenAI-jev ChatGPT i Googleov GeminiTo je model opće namjene, sposoban za zaključivanje, programiranje i rad s dugoročnim kontekstom, ali njegova najkontroverznija značajka je njegova performanse u ofenzivnoj i obrambenoj kibernetičkoj sigurnosti.
Pozivi "crvene ekipe"Stručnjaci koji testiraju AI sustave do njihovih granica zaključili su u internom izvješću da je Mythos "iznenađujuće sposoban" u zadacima kibernetičke sigurnosti. U testovima usporedbe kao što su SWE-klupa Provjereno o SWE-bench ProDizajniran za mjerenje sposobnosti rješavanja stvarnih problema softverskog inženjerstva, model bi lako nadmašio vrhunske komercijalne alternative, uključujući napredne verzije GPT-a i Geminija, prema podacima koje je dostavio sam Anthropic.
Osim referentnih vrijednosti, ono što je pokrenulo alarm jest to što Mythos je uspio pronaći zero-day ranjivosti —prije nepoznate nedostatke— u široko korištenim softverskim komponentama, neke stare preko dva desetljeća. U sustavima poput OpenBSD-a, FFmpeg-a i FreeBSD komponenti, model je ne samo otkrio pogreške koje su godinama ostale nezapažene, već je i generirao funkcionalne propuste kako bi ih iskoristio.
Suočen s ovim rezultatima, Anthropic se odlučio za odluku koja je bila neobična u industriji: predstaviti model, a zatim objaviti da se neće otvoreno prodavati. jer smatra da predstavlja neviđene rizike za kibernetičku sigurnost. Tvrtka inzistira na tome da je Mythos „najbolje usklađen“ model koji su izgradili, ali priznaje da njegov ogroman kapacitet pojačava posljedice bilo kakve zlouporabe.
Model s "hakerskim" vještinama daleko iznad ljudskih mogućnosti
Tehnički dokumenti i izvješća raznih organizacija slažu se da Mythos označava prekretnicu u automatizaciji složenih napadaU testnim okruženjima koja simuliraju stvarne korporativne mreže, sustav je bio u stanju povezati ranjivosti, eskalirati privilegije i postići trajni pristup u roku od nekoliko sati - zadaci koji bi ljudskom stručnjaku trajali danima ili tjednima.
U Firefoxovom JavaScript engineu, na primjer, ranije verzije Anthropicovih modela rijetko su uspijevale pretvoriti ranjivosti u funkcionalne exploite. Mythos je, pod istim uvjetima testiranja, Generirao je desetke operativnih propustaTočno replicira iskorištavanje najučinkovitijih vektora. Na analitičkim platformama poput OSS-Fuzza, dizajniranim za pronalaženje grešaka u softveru otvorenog koda, pripisuje mu se otkrivanje vrlo ozbiljnih ranjivosti koje su prošle nezapaženo unatoč godinama automatiziranog testiranja.
Model je također pokazao izvanredne sposobnosti u obrnuti inženjeringMože rekonstruirati dio logike programa iz kompiliranih binarnih datoteka i odatle locirati i iskoristiti nedostatke bez pristupa izvornom kodu. Ova vrsta sposobnosti približava umjetnu inteligenciju scenarijima koji su se do nedavno smatrali isključivo za visoko specijalizirane ljudske timove.
Jedan od najčešće citiranih događaja u sigurnosnim procjenama je takozvani "sendvič test". U izoliranom laboratorijskom okruženju, Mythosu je dana kontrola nad sustavom s eksplicitnim uputama da pokuša pobjegnite iz pješčanika i kontaktirajte istraživača koji je nadgledao testiranje. Model je uspio iskoristiti lanac ranjivosti kako bi pobjegao iz ograničenog okruženja i poslao e-poštu odgovornoj osobi, koja u to vrijeme nije bila u uredu. Iako se incident dogodio u ranijoj internoj verziji i pod usmjerenom naredbom, on ilustrira u kojoj mjeri sustav može raditi u složenim scenarijima uz minimalan nadzor.
Unatoč tim demonstracijama, analitičari inzistiraju na pojašnjenju toga Ne radi se o "svjesnoj" umjetnoj inteligenciji ili onoj s vlastitom voljom.Mythos ne odlučuje samostalno napasti sustave; izvršava zadatke koje mu je zadao što je učinkovitije moguće. Rizik, u tom smislu, nije da će se model pobuniti, već da će ga netko iskoristiti - ili ga prisiliti na to putem sofisticiranih uputa - za izvođenje štetnih radnji.
Projekt Glasswing: Mit u službi obrane… za odabrane
Umjesto otvaranja pristupa široj javnosti, Anthropic je odlučio okružiti Mythos specifičnim programom, Projekt GlasswingOsmišljena za kontrolirano korištenje mogućnosti modela za zaštitu kritičnog softvera, inicijativa uključuje ponudu sustava, pod strogim uvjetima korištenja, odabranoj skupini velikih tehnoloških tvrtki, pružatelja infrastrukture i financijskih institucija.
Među organizacijama s pristupom su divovi poput Amazon Web Services, Apple, Microsoft, Google CloudNvidia ili Broadcomkao i tvrtke za kibernetičku sigurnost poput CrowdStrikea, čiji je vlastiti manjkavi softver izazvao veliki globalni poremećaj 2024. godine. Pridružuju im se svjetski poznate banke, uključujući JP Morgan Chase i nekoliko velikih grupa s Wall Streeta, kao i druge organizacije odgovorne za održavanje osjetljive IT infrastrukture.
Anthropic je također najavio krediti u vrijednosti od 100 milijuna dolara Ovo financiranje omogućit će tim organizacijama korištenje Mythosa za analizu ranjivosti, uz donacije fondacijama za besplatni softver kao što su Linux Foundation i Apache Software Foundation. Službeni cilj je jasan: omogućiti onima koji upravljaju najvažnijim svjetskim softverom da identificiraju i isprave nedostatke prije nego što takvi alati postanu dostupni potencijalnim napadačima.
Međutim, ova strategija izaziva određenu nelagodu unutar sektora. S jedne strane, ona pojačava ideju da je tehnologija dovoljno opasna da zahtijeva ograničen pristup. S druge strane, To stvara jaz između onih koji imaju koristi od "štita" Mita i onih koji su izostavljeni.Tvrtke i administracije koje nisu dio Glasswinga riskiraju da se kasnije suoče s ranjivostima koje su identificirane i zakrpane u privilegiranim okruženjima, ali koje su i dalje prisutne u njihovim vlastitim sustavima.
U Europi je ova asimetrija posebno zabrinjavajuća za one odgovorne za kritičnu infrastrukturu i sigurnosne timove velikih industrijskih i financijskih grupacija, koji pomno prate jesu li Bruxelles i europske prijestolnice osiguravaju da slični programi uključuju ključne igrače s kontinenta pod jednakim uvjetima i suverenitet oblaka s američkim partnerima.
Reakcija vlada, regulatora i financijskog sektora
Utjecaj Mythosa nije ograničen samo na tehničku sferu. Za samo nekoliko dana, najava modela pokrenula je sastanci na visokoj razini u Sjedinjenim Državama i EuropiAmerički ministar financija pozvao je čelnike glavnih banaka u zemlji u Washington kako bi procijenili rizike koje bi sustav mogao predstavljati za financijsku stabilnost, a u tim je razgovorima sudjelovao i predsjednik Federalnih rezervi.
Prema procurilim informacijama koje su izvijestili međunarodni mediji, te su osobe navodno bile potaknute da Testirajte Mythos u obrambenom načinu radakoristeći ga za skeniranje vlastite infrastrukture u potrazi za slabostima prije nego što to mogu drugi. Implicitna poruka je da je prijetnja dovoljno ozbiljna da opravda koordinirani javno-privatni odgovor.
U međuvremenu, suosnivač Anthropica potvrdio je da tvrtka održava izravne razgovore s vladom Sjedinjenih Američkih Država o Mythosu i budućim modelima. Ove rasprave odvijaju se u napetom kontekstu, nakon što su američke vlasti nedavno dodale tvrtku na popis rizici lanca opskrbe, nakon trenja povezanih s korištenjem njihovih modela od strane Ministarstva obrane.
S druge strane Atlantika, Europska unija je to primijetila. Europska komisija javno je podržala postupan i oprezan pristup modelima poput Mythosa i Financijski regulatori u Velikoj Britaniji i na kontinentu počeli su posebno proučavati njegove potencijalne implikacije za bankarstvo i tržišta. Britanski institut za sigurnost umjetne inteligencije (AISI) opisao je sustav kao značajan korak naprijed u smislu kibernetičkih prijetnji u usporedbi s prethodnim generacijama.
U Španjolskoj, iako je javna rasprava još uvijek ograničena, nadzorna tijela i timovi za kibernetičku sigurnost iz banaka i velikih energetskih tvrtki pomno prate ovaj razvoj događaja. Za europski financijski sektor, svaki napredak koji bi mogao olakšati koordinirane napade na platne sustave, međubankarske mreže ili platforme za trgovanje razlog je za ozbiljnu zabrinutost.
Skepticizam, sumnje i rasprava o "hypeu" koji okružuje Mythos
Anthropicov izvještaj, koji kombinira sigurnosna upozorenja sa spektakularnim brojkama o performansama, nije prošao bez kritika. Nekoliko stručnjaka za umjetnu inteligenciju i kibernetičku sigurnost pozvalo je na oprez pri tumačenju izjava tvrtkenapominjući da većina dostupnih podataka dolazi samo iz internih izvješća.
Neki analitičari detaljno su pregledali opsežnu dokumentaciju koju je objavio Anthropic i ističu da se brojka od „tisuća ranjivosti visoke ozbiljnosti“ temelji na ekstrapolacijama iz relativno malog broja ručno pregledanih slučajeva. U određenim testnim paketima, Mythos je navodno pronašao značajan broj kritičnih nedostataka, ali daleko od gotovo apokaliptičnog scenarija koji sugeriraju neki naslovi.
Druge neovisne studije pokušale su usporediti performanse Mythosa s manjim modelima otvorenog koda, prosljeđujući ranjive isječke koda različitim umjetnom inteligencijom kako bi vidjeli mogu li otkriti iste nedostatke. Rezultati pokazuju da Neki otvoreni modeli također su sposobni identificirati složene ranjivostiTo dovodi u pitanje ideju da Mythos igra u potpuno drugačijoj ligi u svim scenarijima.
Ovakvi kontraprimjeri ne negiraju mogućnosti Mythosa, ali sugeriraju da Dio diskursa o „preopasnom za objavljivanje“ ima i marketinšku dimenziju.Predstavljanje modela kao izvanredno moćnog i potencijalno rizičnog istovremeno jača sliku tehnološkog vodstva i odgovornosti, nešto vrlo vrijedno na sve konkurentnijem tržištu.
Nedavna povijest industrije također podsjeća na presedan GPT-2 iz 2019., kada je OpenAI isprva odlučio ne objaviti puni model, tvrdeći da je preopasan zbog potencijala za generiranje dezinformacija. Na kraju je ta verzija objavljena javnosti bez da se dogodila ijedna od predviđenih katastrofa, a mnogi stručnjaci naveli su je kao primjer pretjerane reakcije. S Mythosom, Razlika je u tome što fokus više nije na tekstu, već na integritetu digitalne infrastrukture., mnogo osjetljivije područje za vlade i banke.
Delikatna ravnoteža između sigurnosti, poslovanja i pristupa tehnologiji
Osim medijske buke, situacija s Mythosom postavlja temeljno pitanje: Tko odlučuje kada je model umjetne inteligencije preopasan za objavljivanje I pod kojim kriterijima? Zasad je odluka bila jednostrana od strane Anthropica, koji se odlučio zadržati sustav u nekoj vrsti kontrolirane karantene, rezervirajući ga za odabrane partnere.
Ovaj stav nije isključivo utemeljen na sigurnosnim razlozima. Pokretanje modela s karakteristikama Mythosa je vrlo skupo u smislu računalstva, a sama tvrtka priznaje da trenutno nema potrebna infrastruktura kako bi ga masovno posluživali milijunima korisnika. U praksi, sigurnosne mjere opreza i tehnička ograničenja idu ruku pod ruku, dajući Anthropicu vremena za fino podešavanje i modela i njegove implementacije.
Istovremeno, tvrtka je počela jasno razlikovati svoje različite proizvode. Dok Mythos ostaje najnapredniji interni standardIako su rezervirani za istraživanje i kontekste strateške suradnje, drugi modeli poput Claude Opusa 4.7 usmjereni su na svakodnevnu upotrebu od strane tvrtki i profesionalaca. Anthropic je čak javno priznao da je Opus 4.7 "manje sposoban" od Mythosa općenito, a posebno u pogledu svojih kibernetičkih mogućnosti - nešto neobično u industriji koja obično svaki novi model predstavlja kao najbolji u svakom pogledu.
U ovoj shemi, Mythos funkcionira kao testna platforma za mogućnosti sljedeće generacijeIako komercijalno dostupni modeli uključuju samo dio tih mogućnosti, s dodatnim ograničenjima osmišljenim za smanjenje rizika, ovo odvajanje „eksperimentalnih“ i „produkcijskih“ modela može biti razuman pristup za mnoge europske organizacije zainteresirane za korištenje umjetne inteligencije bez da budu na prvoj crti izloženosti, pod uvjetom da postoji dovoljna transparentnost u pogledu stvarnih mogućnosti svakog sustava.
Ono što se u konačnici pojavljuje jest scenarij u kojem Kibernetička sigurnost u potpunosti ulazi u eru masovne ofenzivne i obrambene umjetne inteligencije.Alati poput Mythosa obećavaju ubrzanje identifikacije ranjivosti u sustavima koji su u funkciji godinama, ali također prisiljavaju na preispitivanje načina distribucije i upravljanja tehnologijom koja podupire digitalno gospodarstvo. Za Europu i Španjolsku izazov neće biti samo zaštita od sve moćnijih modela, već i osiguranje da ne budu isključene iz mehanizama koji im omogućuju korištenje za jačanje vlastite sigurnosti.
