I partner del progetto Glasswing possono ora condividere i risultati di Mythos al di fuori del programma.

      I partner del Progetto Glasswing possono ora trasmettere le scoperte sulle vulnerabilità ad altri team di sicurezza, organismi di settore, regolatori, manutentori di software open-source e alla stampa, secondo le norme di divulgazione responsabile. Il pool di difensori si è appena ampliato.

      Anthropic ha dichiarato lunedì che sta rivedendo la sua precedente politica di divulgazione su Mythos, il modello di intelligenza artificiale focalizzato sulla cybersecurity non ancora rilasciato, implementato nel programma di accesso controllato del Progetto Glasswing.

      La revisione consentirà ai partner che utilizzano Mythos di condividere informazioni sulle minacce informatiche con altre parti potenzialmente esposte alle stesse vulnerabilità, piuttosto che mantenere le scoperte all'interno dell'organizzazione partner originale.

      La lista delle parti con cui i partner possono ora condividere è, nel testo pubblicato, deliberatamente ampia: team di sicurezza di altre aziende, organismi di settore, regolatori e agenzie governative, manutentori di software open-source, media e pubblico, tutti soggetti a norme di divulgazione responsabile.

      La precedente posizione di Anthropic era sostanzialmente più rigida, con le scoperte mantenute all'interno del programma partner e riportate verso l'alto ad Anthropic stessa piuttosto che verso la più ampia comunità di difensori.

      Il cambiamento è significativo a causa di ciò che Mythos ha scoperto. Secondo le stesse divulgazioni di Anthropic, il modello ha identificato migliaia di vulnerabilità zero-day nei principali sistemi operativi e browser durante i test interni, e ha dimostrato la capacità di sviluppare exploit funzionanti contro tali difetti al primo tentativo in oltre l'83% dei casi.

      Il roster dei partner del Progetto Glasswing include Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco e JPMorgan, un gruppo abbastanza grande da rendere le scoperte che circolano al suo interno un sottoinsieme significativo della superficie di attacco delle moderne imprese.

      Il cambiamento si inserisce anche in un arco normativo più ampio che Anthropic sta navigando. L'azienda si sta preparando a informare il Financial Stability Board su ciò che Mythos ha trovato all'interno delle infrastrutture dei servizi finanziari, su richiesta del governatore della Banca d'Inghilterra Andrew Bailey.

      ASIC, la Fed, la Banca d'Inghilterra, la Banca Centrale Europea, il Tesoro degli Stati Uniti e diversi regolatori asiatici fanno parte del gruppo di monitoraggio coordinato.

      Il rilassamento della politica di divulgazione è coerente con ciò che i regolatori su quei percorsi hanno sollecitato in privato: che le scoperte sulle vulnerabilità non dovrebbero essere mantenute rigidamente all'interno di un programma partner che esclude la maggior parte della comunità di supervisione finanziaria.

      C'è un percorso operativo parallelo che vale la pena segnalare. Il Pentagono, secondo il massimo funzionario tecnologico del Dipartimento della Difesa la scorsa settimana, ha impiegato Mythos per trovare e correggere vulnerabilità software all'interno del governo degli Stati Uniti, mentre contemporaneamente corre per completare una transizione lontano da Anthropic stessa, su ciò che è diventata una complessa posizione dell'amministrazione Trump nei confronti dell'azienda.

      Le banche del Regno Unito hanno ricevuto la propria informativa su Mythos all'inizio di questo mese; le nuove regole di condivisione tra partner consentono a quelle informative di fluire a valle in un modo che la struttura precedente impediva.

      Le meccaniche tecniche e politiche della divulgazione responsabile sono il fattore limitante. La politica rivista di Anthropic non abbandona, nel testo pubblicato, il requisito che la condivisione a valle sia coordinata secondo le norme standard di divulgazione responsabile, che includono finestre di correzione ragionevoli e vincoli sui dettagli utilizzabili come armi.

      Ciò che il cambiamento non risolve è l'asimmetria strutturale su cui i critici hanno insistito per due mesi: che le 40-50 organizzazioni all'interno del Progetto Glasswing ottengano la visione del difensore di Mythos prima del resto dell'ecosistema aziendale globale, e che l'asimmetria si stia ora espandendo attraverso le regole di condivisione tra partner piuttosto che collassare attraverso un accesso diretto più ampio.

      Il quadro di Anthropic del programma di accesso controllato è stato costantemente calibrato per dare ai difensori un vantaggio sull'inevitabile utilizzo da parte degli avversari di capacità comparabili.

      Le regole di condivisione allentate sono l'evoluzione operativa più concreta di quel quadro da quando Mythos è stato annunciato per la prima volta ad aprile.