Sistemul de inteligență artificială a fost capabil să găsească și să exploateze vulnerabilități software – cele mai grave tipuri de erori de programare – la o rată nemaiîntâlnită până acum.

Vestea a stârnit îngrijorare în rândul publicului, al guvernelor lumii și al sectorului tehnologiei informației cu privire la capacitatea IA de astăzi de a submina securitatea cibernetică, unii catalogând modelul drept o amenințare globală.

Susținând că ar fi prea riscant să lanseze modelul și că firma are responsabilitatea morală de a dezvălui aceste vulnerabilități, Anthropic a declarat că nu va oferi imediat modelul publicului larg. În schimb, a acordat acces exclusiv giganților tehnologici pentru a testa capacitățile modelului, un proces pe care Anthropic l-a numit Proiectul Glasswing.

Abilitățile lui Mythos sunt impresionante, dar sistemul IA nu reprezintă o schimbare radicală. Mythos este mai puțin o amenințare nouă și mai degrabă o oglindă care reflectă comportamentul uman și fragilitatea sistemelor moderne actuale.

Ce a făcut Mythos

În timpul unei evaluări controlate, ingineri cu experiență minimă în securitate au solicitat lui Mythos să scaneze mii de baze de cod software pentru vulnerabilități. Modelul a demonstrat capacități uluitoare în desfășurarea unor atacuri autonome, în mai mulți pași, care experților le iau săptămâni sau chiar luni de zile pentru a le pune cap la cap. Mythos nu doar că a reușit să descopere 271 de vulnerabilități în Mozilla Firefox, dar a și dezvoltat „exploit-uri” pentru a profita de 181 dintre acestea.

Per ansamblu, echipa de „red team” a Anthropic (care joacă rolul atacatorului pentru a testa apărările) și Institutul de Securitate IA din Regatul Unit au raportat că Mythos a găsit mii de vulnerabilități de tip zero-day (nedeclarate anterior) în sisteme de operare majore, browsere web și alte aplicații – defecte software care nu au fost încă reparate și care pot fi transformate imediat în atacuri. Oficialii Agenției Naționale de Securitate (NSA) care au testat Mythos au fost impresionați de viteza și eficiența instrumentului în găsirea acestor breșe.

Printre cele mai mediatizate reușite s-au numărat capacitatea lui Mythos de a identifica o vulnerabilitate latentă de 27 de ani în OpenBSD (un sistem de operare axat pe securitate) și o eroare veche de 16 ani în FFmpeg (un instrument de procesare video/audio). Unele dintre aceste defecte permit utilizatorilor neautentificați să preia controlul asupra mașinilor care găzduiesc aceste aplicații.

Citește și
Aplicatia românească de cashback Pigli a ajuns la peste 6.000 de utilizatori
Tech
Aplicatia românească de cashback Pigli a ajuns la peste 6.000 de utilizatori
Platforma europeană de investiții pentru proiecte imobiliare InRento se lansează în România
Tech
Platforma europeană de investiții pentru proiecte imobiliare InRento se lansează în România
Revoluție în industrie: Siemens și NVIDIA testează cu succes primul robot umanoid într-o fabrică reală
Tech
Revoluție în industrie: Siemens și NVIDIA testează cu succes primul robot umanoid într-o fabrică reală

Și mai frapant este faptul că inginerii relativ neexperimentați care au rulat evaluările au putut folosi Mythos pentru a finaliza atacuri peste noapte, de la găsirea vulnerabilităților până la exploatarea lor. Capacitatea modelului de a înlănțui mai mulți pași este ceea ce a surprins Anthropic și organizațiile care l-au testat. Într-o evaluare a Institutului de Securitate IA, Mythos a reușit să preia controlul asupra unei rețele corporative simulate în trei din zece încercări, fiind primul model de IA care reușește această sarcină.

Unde este inovația?

La prima vedere, succesul lui Mythos pare o noutate absolută și ar putea semnala o nouă clasă de amenințări cibernetice. Totuși, o privire mai atentă sugerează altceva. Vulnerabilitățile găsite de Mythos nu sunt noi ca natură. Ele nu aparțin, în general, unor defecte de securitate necunoscute, ci sunt, în multe cazuri, variații ale unor clase de vulnerabilități bine cunoscute și înțelese.

Ceea ce i-a îngrijorat pe cercetători nu a fost faptul că Mythos a schimbat natura procesului de descoperire, ci scara intensă și viteza cu care a reușit să facă acest lucru. Acesta este rezultatul a decenii de cercetare în securitate cibernetică și IA. Mythos urmează aceleași proceduri fundamentale utilizate în practicile standard de securitate ofensivă: scanarea, identificarea tiparelor și testarea exploatabilității. Mythos face posibilă înlănțuirea acestor pași la o viteză greu de conceput.

Tehnologie nouă, dinamică străveche

Mythos evidențiază un fapt important: apărătorii sistemelor sunt mereu în dezavantaj deoarece trebuie să reușească de fiecare dată. Atacatorii, însă, trebuie să reușească o singură dată pentru a compromite un sistem. Acest joc de-a șoarecele și pisica va rămâne același, iar Mythos nu îl schimbă – doar îl consolidează.

Mythos urmează o dinamică familiară: un instrument creat pentru a proteja poate fi folosit și pentru a ataca. „Aceleași îmbunătățiri care fac modelul substanțial mai eficient în repararea vulnerabilităților îl fac și substanțial mai eficient în exploatarea lor”, au scris oficialii Anthropic.

Ceea ce odată necesita abilități înalt specializate poate fi acum realizat cu un efort semnificativ mai mic, ceea ce ridică cea mai importantă întrebare: cine va beneficia primul de instrumente precum Mythos – apărătorii sau atacatorii?