Jak informuje Tom’s Hardware, firma Anthropic opracowała zaawansowany model sztucznej inteligencji Claude Mythos Preview, który potrafi wykrywać krytyczne luki w oprogramowaniu na niespotykaną dotąd skalę.
Jednocześnie twórcy zdecydowali się ograniczyć dostęp do tej technologii, uznając ją za potencjalnie niebezpieczną w przypadku szerokiego wykorzystania. Model trafił wyłącznie do wybranych firm technologicznych oraz instytucji infrastruktury krytycznej, pisze Bytow24.
Dlaczego Claude Mythos wzbudza niepokój
Claude Mythos wyróżnia się zdolnością nie tylko do wykrywania błędów w systemach operacyjnych i przeglądarkach, ale także do ich skutecznego wykorzystywania. Model zidentyfikował tysiące podatności, w tym takie, które pozostawały niezauważone przez dziesięciolecia.
Największe obawy budzi fakt, że sztuczna inteligencja potrafi przekształcić wykryte luki w działające exploity. Według danych zespołu badawczego, model osiąga skuteczność na poziomie ponad 70% w tworzeniu realnych narzędzi ataku.
Przykłady zagrożeń wykrytych przez AI
Wśród najbardziej niepokojących przypadków znalazły się:
- luka w systemie OpenBSD mająca 27 lat, umożliwiająca wywołanie awarii przez samo połączenie
- podatność w bibliotece FFmpeg istniejąca od 16 lat, ignorowana przez miliony testów automatycznych
- exploity w jądrze Linuxa pozwalające uzyskać dostęp root do systemu
Model potrafił także łączyć kilka podatności w jeden złożony mechanizm ataku, co dotąd było domeną wyłącznie najbardziej zaawansowanych hakerów.
Wyniki testów i ocena zagrożenia
W trakcie testów przeprowadzonych na tysiącach repozytoriów open source model wykazał znacznie wyższą skuteczność niż wcześniejsze wersje AI.
Wyjaśnienie wyników przedstawili badacze odpowiedzialni za testy:
„Stale testujemy nasze modele na tysiącach repozytoriów open source i oceniamy najpoważniejsze błędy w pięciostopniowej skali. Podczas gdy wcześniejsze modele osiągały głównie najniższe poziomy błędów, Mythos Preview wykrył setki poważniejszych problemów i doprowadził nawet do pełnego przejęcia kontroli w niektórych przypadkach.”
Według zespołu badawczego tylko niewielka część wykrytych podatności została dotychczas naprawiona, co dodatkowo zwiększa ryzyko.
Ograniczony dostęp zamiast szerokiej premiery
Z uwagi na skalę zagrożeń Anthropic zdecydowała się nie udostępniać modelu publicznie. Dostęp otrzymały jedynie wybrane organizacje technologiczne i instytucje, które mogą wykorzystać narzędzie do poprawy bezpieczeństwa systemów.
Równolegle firma współpracuje z rządem USA, analizując potencjalne zastosowania modelu zarówno w działaniach defensywnych, jak i ofensywnych w cyberprzestrzeni.
Długofalowo celem jest przygotowanie branży na moment, w którym podobne narzędzia staną się powszechne, jednak obecnie ich niekontrolowane użycie mogłoby doprowadzić do poważnych zagrożeń.
Przypominamy, wcześniej pisaliśmy o planach Ubisoft dotyczących remake gry Assassin’s Creed IV Black Flag i przygotowaniach do premiery oraz oczekiwaniach graczy.
