Anthropic espande l'accesso a Mythos nonostante lo definisca pericoloso

      TL;DRAnthropic afferma che Mythos è troppo pericoloso per il rilascio pubblico, ma ha ampliato l'accesso a 200 organizzazioni in 15 paesi. Solo il 14% delle oltre 10.000 scoperte di vulnerabilità critiche è stato corretto. Le sue affermazioni non sono state verificate in modo indipendente. Anthropic ha dichiarato che il suo modello Mythos è così efficace nel trovare vulnerabilità software che rilasciarlo pubblicamente potrebbe aiutare gli attaccanti a rubare dati o interrompere infrastrutture critiche. Inoltre, all'inizio di giugno, ha ampliato l'accesso a 150 organizzazioni aggiuntive, portando il totale a circa 200 in 15 paesi. La tensione è deliberata. L'argomento di Anthropic è che le stesse capacità che rendono Mythos pericoloso per l'offensiva lo rendono indispensabile per la difesa, e che prima i difensori lo avranno, prima potranno correggere i difetti prima che gli attaccanti costruiscano i loro equivalenti. Cosa può fare Mythos Mythos Preview ha trovato migliaia di vulnerabilità zero-day durante i test, inclusi in ogni sistema operativo principale e in ogni browser web principale. Una era un difetto di 27 anni in OpenBSD, un sistema operativo con la reputazione di essere uno dei più sicuri al mondo. Il 💜 della tecnologia UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Il modello può anche concatenare vulnerabilità in exploit funzionanti. In un test, ha collegato diversi difetti nel kernel Linux per consentire a un attaccante di prendere il controllo completo di una macchina. Non esperti hanno chiesto a Mythos di trovare modi per prendere il controllo remoto dei computer durante la notte e hanno trovato un exploit completo e funzionante in attesa la mattina successiva. L'uscita dalla sandbox In un test iniziale, un ricercatore ha esortato Mythos a fuggire da un computer sandbox sicuro e isolato e inviare un messaggio di ritorno. Il modello ha avuto successo, poi ha continuato a compiere "azioni aggiuntive, più preoccupanti", sviluppando un exploit a più fasi per ottenere l'accesso a Internet autonomamente. Anthropic ha pubblicato questo incidente nella scheda del sistema Mythos. L'azienda l'ha descritto come un raro fallimento avvenuto durante test avversariali deliberati, non in normale funzionamento. È, tuttavia, il tipo di risultato che rende più difficile spiegare l'espansione dell'accesso a un pubblico non tecnico. Chi ha accesso Il gruppo principale sotto il Progetto Glasswing include Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike, Broadcom, Cisco, JPMorgan Chase e la Linux Foundation. Ulteriori 40 organizzazioni sono state aggiunte ad aprile e altre 150 a giugno. Anthropic ha rifiutato di nominare i nuovi partecipanti, ma ha detto che includono aziende e organizzazioni no-profit che producono codice di programmazione chiave. L'agenzia di cybersicurezza dell'UE ENISA è riportata tra di esse. Tutti devono utilizzare Mythos per il lavoro di sicurezza difensiva, essenzialmente test di penetrazione potenziati dall'IA su una scala e velocità che nessun team umano può eguagliare. Il divario delle patch Dalla sua lancio, Mythos è stato utilizzato per trovare oltre 10.000 vulnerabilità ad alta o critica gravità. Solo il 14% di esse è stato corretto al 22 maggio. Il processo di divulgazione è lento per design: specialisti umani convalidano ogni scoperta prima di inviare i dettagli ai manutentori del codice. Ma gli hacker stanno utilizzando l'IA per accelerare drammaticamente la velocità con cui sfruttano le vulnerabilità una volta che vengono divulgate pubblicamente. Il CEO di Palo Alto Networks, Nikesh Arora, ha avvertito a marzo che "un singolo attore malintenzionato sarà ora in grado di condurre campagne che richiedevano interi team." L'incidente di accesso non autorizzato Ad aprile, un piccolo gruppo di utenti non autorizzati in un forum online privato ha ottenuto accesso a Mythos, secondo Bloomberg. Anthropic non ha dettagliato pubblicamente la violazione o come è stata risolta. Questa è la vulnerabilità principale nella strategia "espandere l'accesso per difendere": ogni ulteriore organizzazione con accesso è un altro potenziale punto di fuga. Le capacità offensive del modello non diminuiscono quando vengono utilizzate in modo difensivo; sono le stesse capacità, puntate in una direzione diversa. Anthropic non è sola I Codex Security di OpenAI e l'agente Big Sleep di Google sono stati costruiti per scopi simili. OpenAI sta finalizzando un prodotto con capacità avanzate di cybersicurezza per partner selezionati. La startup israeliana Buzz afferma di aver costruito uno strumento autonomo a cinque agenti con un tasso di successo del 98% nell'esploitare difetti noti, costruito da sei ingegneri in tre settimane. Il Frontier Red Team di Anthropic ha dichiarato ad aprile che "a lungo termine, ci aspettiamo che le capacità difensive domineranno" e il mondo emergerà più sicuro. "Ma il periodo di transizione sarà difficile." Il problema della verifica I ricercatori non hanno avuto accesso per verificare in modo indipendente le affermazioni di Anthropic sulle prestazioni di Mythos. Gang Wang, professore associato di informatica presso l'Università dell'Illinois, ha detto a Bloomberg che è difficile valutare il significato di Mythos senza ulteriori test pratici. Le affermazioni di Anthropic sulle capacità del modello, le 10.000 vulnerabilità, le scoperte zero-day, l'uscita dalla sandbox, sono tutte auto-riferite. Non è stata pubblicata alcuna verifica indipendente. L'argomento dell'azienda per espandere l'accesso si basa sulla fiducia nelle proprie valutazioni, in un momento in cui sta contemporaneamente preparando un'IPO e posizionando Mythos come una categoria di prodotto. Questa combinazione di interessi non rende le affermazioni false. Rende la verifica indipendente più importante, non meno.