Anthropic: Το Mythos πυροδοτεί φόβους, όχι όμως μια εντελώς νέα απειλή

Το Mythos της Anthropic προκάλεσε έναν διεθνή συναγερμό σε επίπεδο κυβερνοασφάλειας, με τράπεζες, τεχνολογικές εταιρείες και κυβερνήσεις να σπεύδουν να αξιολογήσουν τους κινδύνους από ένα μοντέλο τεχνητής νοημοσύνης που φέρεται να μπορεί να εντοπίζει και να αξιοποιεί ευπάθειες λογισμικού σε πρωτοφανή κλίμακα.

Όμως, όπως επισημαίνουν ειδικοί που μίλησαν στο CNBC, η απειλή δεν γεννήθηκε με το Mythos, αφού παρόμοιες δυνατότητες μπορούν ήδη να αναπαραχθούν με υπάρχοντα μοντέλα της Anthropic, της OpenAI και άλλων παρόχων, μέσω έξυπνης οργάνωσης και συνδυασμού εργαλείων.

Η Anthropic επέλεξε να περιορίσει τη διάθεση του μοντέλου σε λίγες αμερικανικές εταιρείες, ανάμεσά τους οι Apple, Amazon, JPMorgan Chase και Palo Alto Networks, στο πλαίσιο του Project Glasswing, ώστε να δοθεί χρόνος στους οργανισμούς να ενισχύσουν τις άμυνές τους πριν η τεχνολογία τεθεί σε ευρύτερη κυκλοφορία. Η κίνηση αυτή, ωστόσο, δεν έκοψε τη συζήτηση γύρω από το κατά πόσο η παρουσίαση του Mythos λειτούργησε περισσότερο ως καταλύτης πανικού παρά ως αποκάλυψη ενός εντελώς νέου τεχνολογικού κινδύνου.

Η πραγματική απειλή

Ειδικοί της κυβερνοασφάλειας επισημαίνουν ότι η ικανότητα ανίχνευσης zero-day ευπαθειών δεν είναι πια θεωρητική, αλλά ήδη διαθέσιμη σε δημόσια μοντέλα τεχνητής νοημοσύνης όταν χρησιμοποιούνται σωστά και σε συνδυασμό με κατάλληλες ροές εργασίας. Η Κλόντια Κλοτς της Vidoc τόνισε στο CNBC ότι τα σημερινά μοντέλα είναι ήδη αρκετά ισχυρά ώστε να ανιχνεύουν zero days ευπάθειες σε μεγάλη κλίμακα, ενώ η ομάδα της κατάφερε να αναπαράγει παρόμοια αποτελέσματα με παλαιότερα μοντέλα της OpenAI και της Anthropic.

Αντίστοιχα, η εταιρεία κυβερνοασφάλειας Aisle υποστήριξε ότι η ισχύς δεν βρίσκεται μόνο στο μοντέλο, αλλά και στην κλίμακα και στον συντονισμό της διαδικασίας.

Αυτό σημαίνει ότι το Mythos δεν εισήγαγε από το μηδέν μια νέα δυνατότητα, αλλά ανέδειξε με ένταση έναν κίνδυνο που οι επαγγελματίες του χώρου παρακολουθούν εδώ και μήνες. Ο Μπεν Χάρις της watchTowr Labs περιέγραψε το κλίμα στην αγορά ως «υστερία», λέγοντας ότι η βιομηχανία ανησυχεί δικαιολογημένα για τον όγκο των ευπαθειών, αλλά η βασική αδυναμία υπήρχε ήδη: οι οργανισμοί δεν μπορούν να διορθώνουν τα κενά ταχύτερα από όσο τα εκμεταλλεύονται οι επιτιθέμενοι.

Επιθετική υπεροχή

Το στοιχείο που διαφοροποιεί περισσότερο το Mythos, σύμφωνα με την Anthropic, είναι η ικανότητά του να μετατρέπεται από εργαλείο εντοπισμού ευπαθειών σε σύστημα που μπορεί να προχωρά και σε λειτουργικά exploits σχεδόν χωρίς ανθρώπινη παρέμβαση. Η εταιρεία υποστηρίζει ότι αυτό ανεβάζει σημαντικά τον πήχη για τις επιθέσεις στον κυβερνοχώρο, επειδή αυτοματοποιεί μια διαδικασία που μέχρι πρόσφατα απαιτούσε εξειδικευμένους ερευνητές.

Ωστόσο, ερευνητές σημειώνουν ότι αυτή η ικανότητα δεν είναι αποκλειστικό προνόμιο της Anthropic, αφού αντίστοιχες τεχνικές είναι ήδη γνωστές σε κρατικούς και εγκληματικούς δρώντες.

Οι ειδικοί τονίζουν ότι οι χάκερ που συνδέονται με εγκληματικές ομάδες ή εχθρικά κράτη (προς τη Δύση), όπως η Βόρεια Κορέα, η Κίνα και η Ρωσία, διαθέτουν ήδη την τεχνογνωσία για να εκμεταλλεύονται αδυναμίες με ή χωρίς τη βοήθεια τέτοιων μοντέλων. Η ουσιαστική αλλαγή, λένε, βρίσκεται στη μείωση του κόστους εισόδου: περισσότεροι δρώντες μπορούν τώρα να επιχειρούν επιθέσεις που παλαιότερα απαιτούσαν σπάνια εξειδίκευση. Έτσι, η απειλή δεν είναι μόνο πιο γρήγορη, αλλά και πιο μαζική.

Τράπεζες και ρυθμιστικές Αρχές

Για τις τράπεζες και τις ρυθμιστικές αρχές, το ζήτημα δεν είναι αν η ΑΙ μπορεί να βοηθήσει στην άμυνα, αλλά ότι προς το παρόν δίνει μεγαλύτερο πλεονέκτημα στην επίθεση. Ο Τζέιμι Ντίμον της JPMorgan έχει ήδη προειδοποιήσει ότι τα εργαλεία τεχνητής νοημοσύνης ενδέχεται αρχικά να κάνουν τις εταιρείες πιο ευάλωτες, πριν αρχίσουν να λειτουργούν υπέρ της ασφάλειας.

Ο Τζάστιν Χέρινγκ της Mayer Brown περιέγραψε τη διαχείριση ευπαθειών ως «το μεγάλο Σισύφειο έργο» της κυβερνοασφάλειας, υπογραμμίζοντας ότι η έκταση του προβλήματος έχει ξεπεράσει την ταχύτητα των παραδοσιακών μηχανισμών άμυνας.

Την ίδια στιγμή, η περιορισμένη πρόσβαση στο Mythos δημιούργησε και ένα πρακτικό πρόβλημα: η ευρύτερη κοινότητα κυβερνοασφάλειας δεν μπορεί να επαληθεύσει ανεξάρτητα τους ισχυρισμούς της Anthropic ούτε να χτίσει άμυνες με βάση το μοντέλο. Ορισμένοι ερευνητές θεωρούν ότι αυτό δημιουργεί ένα σύστημα μεταξύ αυτών που «έχουν και δεν έχουν», περιορίζοντας τη συλλογική ικανότητα της αγοράς να απαντήσει στον νέο κίνδυνο. Η συζήτηση, έτσι, μετατοπίζεται από το αν η απειλή υπάρχει στο πώς θα μοιραστεί εγκαίρως η γνώση για την αντιμετώπισή της.

Η σημασία του Mythos

Το Mythos φαίνεται να λειτουργεί περισσότερο ως καμπανάκι για το μέλλον της κυβερνοασφάλειας παρά ως μοναδική τεχνολογική τομή. Η πραγματική πρόκληση είναι ότι η τεχνητή νοημοσύνη επιταχύνει μια ήδη ενεργή κούρσα ανάμεσα σε επιτιθέμενους και αμυνόμενους, με τους δεύτερους να προσπαθούν να κλείσουν ένα κενό που διαρκώς μεγαλώνει.

Με απλά λόγια, το πρόβλημα δεν ξεκίνησε με το Mythos, αλλά το Mythos δείχνει πόσο μεγαλύτερο μπορεί να γίνει από εδώ και πέρα.