Den senaste AI-modellen, benämnd Mythos, från företaget Anthropic påstår sig överträffa världens hackare och avslöja säkerhetshål i alla system den får tillgång till. Enligt Anthropic är den så pass farlig att den inte bör stå till buds för allmänheten.
Företaget, som är en av de ledande aktörerna inom AI-teknik tillsammans med Open AI och Google, beskriver Mythos som en revolutionerande modell med en enastående förmåga att identifiera kritiska sårbarheter som kan utnyttjas av hackare. Enligt Anthropic har modellen redan upptäckt tusentals allvarliga säkerhetshål, däribland i stora operativsystem och webbläsare.
Om uppgifterna stämmer, kan det vara förödande att låta vem som helst använda systemet. Det finns en reell risk att kriminella aktörer och spioner får tillgång till säkerhetshål som ingen har kännedom om, vilket skulle kunna leda till allvarliga cyberangrepp.
För att hantera de potentiella riskerna har Anthropic initierat ”Project Glasswing”, där ett antal ledande teknikföretag, inklusive Google, Microsoft och Apple, får tillgång till modellen. Syftet är att dessa företag ska kunna identifiera och åtgärda säkerhetshål i sina system innan illvilliga aktörer hinner utnyttja dem.
Det är också värt att notera att det finns en viss PR-aspekt i Anthropics budskap. Genom att framhäva att deras teknik är så kraftfull att den är ”för farlig” signalerar de att de är ledande inom sitt område. En intressant fråga som väcks är varför inte Open AI eller Meta, vars produkter ofta har varit utsatta för spionage, inkluderades i projektet.
En av de personer som får tillgång till Mythos är svensken Daniel Stenberg, skaparen av Curl, en av världens mest använda mjukvaror. Curl är en komponent som integreras i olika program och finns i över tio miljarder enheter, vilket innebär att en allvarlig säkerhetsbrist kan få katastrofala följder.
Stenberg förhåller sig skeptisk till Anthropics påståenden och kallar det hittills mest för marknadsföring. Han påpekar att stora språkmodeller, som Mythos, har visat sig bli bättre på att identifiera sårbarheter. Förra året fyrdubblades antalet inrapporterade buggar, och i år har de återigen fyrdubblats. Detta tyder på att många av dessa rapporter kommer från AI-genererade källor.
Trots att mängden rapporter har ökat, har kvaliteten på dem varierat. Stenberg har tidigare fått in så många lågkvalitativa rapporter att han tvingades sluta betala ut belöningar för tips om allvarliga sårbarheter. Men på senare tid har han märkt en förbättring i kvaliteten på de AI-genererade rapporterna, vilket gör att han nu använder flera sådana verktyg.
Anthropic har också delat med sig av exempel på sårbarheter som Mythos har identifierat, inklusive en bugg i operativsystemet Open BSD som hade varit gömd i koden i 27 år. Denna sårbarhet möjliggör för en angripare att krascha en maskin på distans.
Det råder ingen tvekan om att vi befinner oss mitt i en kapprustning inom AI-drivna cybersäkerhetslösningar, där både brottslingar och teknikföretag tävlar om att ligga steget före varandra.