Az Anthropic új mesterséges intelligencia modellje, az ún. Claude Mythos előzeteseA fejlett mesterséges intelligencia korlátairól szóló globális vita középpontjába került. Maga a vállalat is elismeri, hogy a rendszer kiberbiztonsági szempontból annyira erős, hogy úgy döntött, nem vezeti be széles körben, ami szokatlan döntés egy olyan szektorban, amely hozzászokott, hogy minden új előrelépéssel dicsekedjen.
Nem csupán a korábbi modellekhez képesti fokozatos javulás forog kockán, hanem minőségi ugrás a számítógépes sebezhetőségek észlelésének és kihasználásának képességébenA kormányok, a központi bankok, a nagyobb pénzügyi intézmények és az európai szabályozó hatóságok szorosan figyelemmel kísérik az ügyet, tudatában annak, hogy egy ilyen eszköz... a kritikus rendszerek védelmének megerősítéseDe példátlan mértékű támadásoknak is utat nyithat, ha rossz kezekbe kerülne.
Mi is pontosan a Claude Mythos, és miért késik a megjelenése?
A Claude Mythos az egyik legújabb modell a Claude családban, az Anthropic mesterséges intelligencia ökoszisztémájában, amely versenyez a… Az OpenAI ChatGPT-je és a Google Gemini-jeEz egy általános célú modell, amely képes logikus gondolkodásra, programozásra és hosszú távú kontextusokkal való munkára, de a legvitatottabb tulajdonsága a teljesítmény támadó és védekező kiberbiztonságban.
A hívások „vörös csapatok”Azok a szakemberek, akik a mesterséges intelligencia rendszereket tesztelik a határaikon, egy belső jelentésben arra a következtetésre jutottak, hogy a Mythos „meglepően alkalmas” a kiberbiztonsági feladatokra. Olyan benchmark teszteken, mint például SWE-pad Ellenőrzött o SWE-pad ProA valós szoftverfejlesztési problémák megoldásának képességét mérő modell könnyedén felülmúlta volna a csúcskategóriás kereskedelmi alternatívákat, beleértve a GPT és a Gemini fejlett verzióit is, az Anthropic által szolgáltatott adatok szerint.
A referenciaértékeken túl az is vészharangokat kongat meg, hogy A Mythosnak sikerült megtalálnia nulladik napi sebezhetőségek – korábban ismeretlen hibák – széles körben használt szoftverkomponensekben, némelyik több mint két évtizedes. Olyan rendszerekben, mint az OpenBSD, az FFmpeg és a FreeBSD komponensek, a modell nemcsak az évekig észrevétlen hibákat észlelte, hanem működő hibajavító mechanizmusokat is generált ezek kihasználására.
Ezekkel az eredményekkel szembesülve az Anthropic egy az iparágban szokatlan döntést hozott: hogy bemutassák a modellt, majd bejelentsék, hogy azt nem fogják nyíltan forgalmazni. mivel úgy véli, hogy példátlan kiberbiztonsági kockázatokat jelent. A vállalat ragaszkodik ahhoz, hogy a Mythos a „legjobban összehangolt” modell, amit valaha építettek, de elismeri, hogy hatalmas kapacitása felerősíti a visszaélések következményeit.
Egy modell, amelynek „hacker” képességei messze meghaladják az emberi képességeket
Különböző szervezetek műszaki dokumentumai és jelentései egyetértenek abban, hogy A Mythos fordulópontot jelent az összetett támadások automatizálásábanValós vállalati hálózatokat szimuláló tesztkörnyezetekben a rendszer órák alatt képes volt sebezhetőségeket láncolni, jogosultságokat eszkalálni és állandó hozzáférést elérni – olyan feladatok, amelyek egy emberi szakértő számára napokat vagy heteket vennének igénybe.
A Firefox JavaScript motorjában például az Anthropic modelljeinek korábbi verziói ritkán tudták a sebezhetőségeket működőképes hibaforrásokká alakítani. A Mythos, azonos tesztkörülmények között, Több tucat működési kihasználást generáltPontosan lemásolja a leghatékonyabb vektorok kihasználását. Az olyan elemző platformokon, mint az OSS-Fuzz, amelyet a nyílt forráskódú szoftverek hibáinak felkutatására terveztek, a program olyan súlyos sebezhetőségek észleléséért felelős, amelyek az évekig tartó automatizált tesztelés ellenére sem kerültek előtérbe.
A modell figyelemre méltó képességeket is bizonyított visszafejtésKépes egy program logikájának egy részét rekonstruálni a lefordított bináris fájlokból, és onnan megtalálni és kihasználni a hibákat az eredeti forráskód elérése nélkül. Ez a fajta képesség közelebb hozza a mesterséges intelligenciát olyan forgatókönyvekhez, amelyeket egészen a közelmúltig kizárólag a magasan specializált emberi csapatok számára tartottak elérhetőnek.
A biztonsági értékelések egyik leggyakrabban idézett epizódja az úgynevezett „szendvicsteszt”. Egy elszigetelt laboratóriumi környezetben a Mythos egy olyan rendszer feletti irányítást kapott, amelyre explicit utasításokat adott, hogy próbálja meg menekülj ki a homokozóból és vedd fel a kapcsolatot a kutatóval aki felügyelte a tesztet. A modellnek sikerült kihasználnia egy sor sebezhetőséget, hogy kilépjen a korlátozott környezetből, és e-mailt küldjön a felelős személynek, aki akkoriban nem volt az irodában. Bár az incidens egy korábbi belső verzióban és utasított parancs hatására történt, jól mutatja, hogy a rendszer milyen mértékben képes minimális felügyelet mellett összetett forgatókönyvekben működni.
Ezen tüntetések ellenére az elemzők ragaszkodnak ahhoz, hogy tisztázzák, hogy Nem egy „tudatos” vagy saját akarattal rendelkező mesterséges intelligenciával van dolgunk.A Mythos nem dönt önállóan a rendszerek támadásáról; a rábízott feladatokat a lehető leghatékonyabban hajtja végre. A kockázat ebben az értelemben nem az, hogy a modell fellázad, hanem az, hogy valaki felhasználja – vagy kifinomult utasításokkal kényszeríti erre – káros műveletek végrehajtására.
Project Glasswing: Mítosz a védelem szolgálatában… néhány kiválasztott számára
Ahelyett, hogy a nagyközönség számára is elérhetővé tette volna a Mythost, az Anthropic úgy döntött, hogy egy konkrét programmal veszi körül, Üvegszárny ProjektA kezdeményezés célja, hogy a modell képességeit ellenőrzött módon, a kritikus szoftverek védelme érdekében használják, és magában foglalja a rendszer szigorú használati feltételek melletti felajánlását nagy technológiai vállalatok, infrastruktúra-szolgáltatók és pénzügyi intézmények egy kiválasztott csoportjának.
A hozzáféréssel rendelkező szervezetek között olyan óriások is vannak, mint például Amazon Web Services, Apple, Microsoft, A Google CloudNvidia vagy Broadcomvalamint olyan kiberbiztonsági cégek, mint a CrowdStrike, amelyek saját hibás szoftvere jelentős globális zavart okozott 2024-ben. Hozzájuk csatlakoznak világhírű bankok, többek között A JP Morgan Chase és számos nagy Wall Street-i csoport, valamint más szervezetek, amelyek az érzékeny informatikai infrastruktúrák karbantartásáért felelősek.
Az Anthropic is bejelentette 100 millió dollár értékű hitelek Ez a finanszírozás lehetővé teszi ezeknek a szervezeteknek a Mythos használatát sebezhetőségi elemzésekhez, valamint adományokat olyan szabad szoftverekkel foglalkozó alapítványoknak, mint a Linux Foundation és az Apache Software Foundation. A hivatalos cél egyértelmű: lehetővé tenni a világ legkritikusabb szoftvereit kezelők számára, hogy azonosítsák és kijavítsák a hibákat, mielőtt ezek az eszközök elérhetővé válnának a potenciális támadók számára.
Ez a stratégia azonban némi nyugtalanságot kelt az ágazaton belül. Egyrészt megerősíti azt az elképzelést, hogy a technológia elég veszélyes ahhoz, hogy korlátozott hozzáférést igényeljen. Másrészt, Szakadékot teremt azok között, akik hasznot húznak a Mítosz "pajzsából", és azok között, akik kimaradnak belőle.A Glasswinghez nem tartozó vállalatok és közigazgatási szervek ki vannak téve annak a kockázatnak, hogy később olyan sebezhetőségekkel szembesülnek, amelyeket privilegizált környezetekben azonosítottak és javítottak, de amelyek továbbra is jelen vannak a saját rendszereikben.
Európában ez az aszimmetria különösen aggasztó a kritikus infrastruktúráért felelősök és a nagy ipari és pénzügyi csoportok biztonsági csapatai számára, akik szorosan figyelemmel kísérik, hogy Brüsszel és az európai fővárosok biztosítják, hogy a hasonló programokban a kontinens kulcsfontosságú szereplői egyenlő feltételekkel vegyenek részt. és felhőszuverenitás az amerikai partnerekkel.
A kormányok, a szabályozó hatóságok és a pénzügyi szektor reakciói
A Mythos hatása nem korlátozódik a technikai területre. A modell bejelentése mindössze néhány nap alatt elindította magas szintű találkozók az Egyesült Államokban és EurópábanAz amerikai pénzügyminiszter Washingtonba hívta az ország legnagyobb bankjainak vezetőit, hogy felmérjék a rendszer pénzügyi stabilitásra jelentett kockázatait, miközben a Federal Reserve elnöke is részt vett ezeken a tárgyalásokon.
A nemzetközi média által kiszivárogtatott információk szerint ezeket a szervezeteket állítólag arra biztatták, hogy Teszteld a Mythos-t védekező módbanarra használják, hogy mások előtt átvizsgálják saját infrastruktúrájuk gyengeségeit. A burkolt üzenet az, hogy a fenyegetés elég komoly ahhoz, hogy összehangolt köz- és magánszféra közötti választ indokoljon.
Eközben az Anthropic társalapítója megerősítette, hogy a vállalat közvetlen tárgyalásokat folytat az Egyesült Államok kormánnyal a Mythosról és a jövőbeli modellekről. Ezek a megbeszélések feszült környezetben zajlanak, miután az amerikai hatóságok nemrégiben felvették a céget egy listára ellátási lánc kockázatai, a Védelmi Minisztérium által a modelljeik használatával kapcsolatos súrlódásokat követően.
Az Atlanti-óceán túloldalán az Európai Unió felfigyelt erre. Az Európai Bizottság nyilvánosan fokozatos és óvatos megközelítést javasolt az olyan modellekhez, mint a Mythos, és Az Egyesült Királyság és a kontinens pénzügyi szabályozói elkezdték kifejezetten tanulmányozni a lehetséges következményeket. banki és piaci szektorban. Az Egyesült Királyság kormányának MI Biztonsági Intézete (AISI) a rendszert jelentős előrelépésként jellemezte a kiberfenyegetések tekintetében a korábbi generációkhoz képest.
Spanyolországban, bár a nyilvános vita még mindig korlátozott, a bankok és a nagy energiacégek felügyeleti szervei és kiberbiztonsági csapatai szorosan figyelemmel kísérik ezeket a fejleményeket. Az európai pénzügyi szektor számára minden olyan előrelépés, amely elősegítheti a fizetési rendszerek, bankközi hálózatok vagy kereskedési platformok elleni összehangolt támadásokat, komoly aggodalomra ad okot.
Szkepticizmus, kétségek és vita a mítoszt övező felhajtásról
Az Anthropic beszámolója, amely a biztonsági figyelmeztetéseket látványos teljesítményadatokkal ötvözi, nem maradt kritikák nélkül. Számos mesterséges intelligencia és kiberbiztonsági szakértő szorgalmazta a következőket: óvatosan kell eljárni a vállalat nyilatkozatainak értelmezésekormegjegyezve, hogy a rendelkezésre álló adatok nagy része csak belső jelentésekből származik.
Néhány elemző részletesen áttekintette az Anthropic által közzétett kiterjedt dokumentációt, és rámutat, hogy a „több ezer súlyos sebezhetőség” száma viszonylag kis számú, manuálisan felülvizsgált eset extrapolációján alapul. Bizonyos tesztkészletekben a Mythos állítólag jelentős számú kritikus hibát talált, de messze nem attól a szinte apokaliptikus forgatókönyvtől, amelyet egyes címlapok sugallnak.
Más független tanulmányok megpróbálták összehasonlítani a Mythos teljesítményét kisebb, nyílt forráskódú modellekkel, sebezhető kódrészleteket adva át különböző mesterséges intelligenciáknak, hogy kiderüljön, képesek-e észlelni ugyanazokat a hibákat. Az eredmények azt mutatják, hogy Néhány nyílt modell képes komplex sebezhetőségek azonosítására is.Ez megkérdőjelezi azt az elképzelést, hogy a Mythos minden forgatókönyvben teljesen más ligában játszik.
Az ilyen ellenpéldák nem cáfolják a Mítosz képességeit, de arra utalnak, hogy A „túl veszélyes a közzétételhez” diskurzus egy részének marketing dimenziója is van.Egy modell rendkívül erősnek és potenciális kockázatot jelentőnek való bemutatása megerősíti a technológiai vezető szerep és felelősség képét, ami nagyon értékes egy egyre versenyképesebb piacon.
Az iparág közelmúltbeli története a 2019-es GPT-2 precedensére is emlékeztet, amikor az OpenAI kezdetben úgy döntött, hogy nem teszi közzé a teljes modellt, azt állítva, hogy az túl veszélyes a dezinformáció generálására való képessége miatt. Végül ezt a verziót tették közzé anélkül, hogy a megjósolt katasztrófák bármelyike bekövetkezett volna, és sok szakértő a túlreagálás példájaként említette. A Mythos-szal, A különbség az, hogy a hangsúly már nem a szövegen van, hanem a digitális infrastruktúra integritásán., ami sokkal érzékenyebb terület a kormányok és a bankok számára.
Kényes egyensúly a biztonság, az üzleti élet és a technológiához való hozzáférés között
A médiazajon túl a mítoszhelyzet egy alapvető kérdést vet fel: Ki dönti el, hogy egy MI-modell mikor túl veszélyes a közzétételhez? És milyen kritériumok alapján? Egyelőre az Anthropic egyoldalúan hozta meg a döntést, amely úgy döntött, hogy a rendszert egyfajta ellenőrzött karanténban tartja, és csak kiválasztott partnerek számára tartja fenn.
Ez az álláspont nem kizárólag biztonsági okokon alapul. A Mythos jellemzőivel rendelkező modell futtatása... nagyon drága számítástechnikai szempontból, és maga a vállalat is elismeri, hogy jelenleg nem rendelkezik a szükséges infrastruktúra hogy tömegesen szolgáltassa ki felhasználók millióinak. A gyakorlatban a biztonsági óvintézkedések és a technikai korlátozások kéz a kézben járnak, így az Anthropicnak ideje van mind a modell, mind a telepítés finomhangolására.
Ugyanakkor a vállalat elkezdte egyértelműen megkülönböztetni a különböző termékeit. Míg a Mythos továbbra is... legfejlettebb belső szabványMíg kutatási és stratégiai együttműködési kontextusokra fenntartva, más modellek, mint például a Claude Opus 4.7, a vállalkozások és a szakemberek mindennapi használatára irányulnak. Az Anthropic nyilvánosan is elismerte, hogy az Opus 4.7 általánosságban „kevésbé képes”, mint a Mythos, és különösen a kiberbiztonsági képességeit tekintve – ami szokatlan egy olyan iparágban, amely jellemzően minden új modellt a legjobbként mutat be minden szempontból.
Ebben a rendszerben a Mítosz a következőképpen működik tesztkörnyezet a következő generációs képességekhezMíg a kereskedelmi forgalomban kapható modellek ezen képességeknek csak egy részét tartalmazzák, további korlátozásokkal a kockázatok csökkentése érdekében, a „kísérleti” és az „éles” modellek elkülönítése ésszerű megközelítés lehet számos európai szervezet számára, amelyek érdeklődnek a mesterséges intelligencia kihasználása iránt anélkül, hogy a kitettség frontvonalában lennének, feltéve, hogy kellő átláthatóság van az egyes rendszerek tényleges képességeivel kapcsolatban.
Ami végül kirajzolódik, az egy olyan forgatókönyv, amelyben A kiberbiztonság teljes mértékben belép a nagyléptékű támadó és védekező mesterséges intelligencia korszakába.Az olyan eszközök, mint a Mythos, ígéretet tesznek arra, hogy felgyorsítják az évek óta működő rendszerek sebezhetőségeinek azonosítását, de egyben arra is kényszerítenek, hogy újragondoljuk a digitális gazdaság alapjául szolgáló technológia elosztását és irányítását. Európa és Spanyolország számára a kihívás nemcsak az lesz, hogy megvédjék magukat az egyre erősebb modellektől, hanem az is, hogy biztosítsák, ne maradjanak ki azokból a mechanizmusokból, amelyek lehetővé teszik számukra, hogy saját biztonságuk megerősítésére használják őket.
