Anthropic udostępniło model Claude Mythos w ramach zamkniętych testów badawczych. Jest to system ogólnego przeznaczenia, który wykazuje nowe możliwości w zakresie cyberbezpieczeństwa, w tym wyszukiwanie i wykorzystywanie podatności typu zero-day. W związku z ryzykiem, jakie niesie ta technologia, firma rozpoczęła Project Glasswing. To inicjatywa o ograniczonym dostępie, która ma wykorzystać potencjał modelu do wzmocnienia zabezpieczeń infrastruktury krytycznej.
Dane techniczne opublikowane przez Anthropic wskazują, że model uzyskał wynik 83% w teście CyberGym. Dla porównania Claude Opus osiągnął w tym samym badaniu 67%. Claude Mythos nie ogranicza się do prostego skanowania kodu. Potrafi tworzyć złożone łańcuchy exploitów, które w testach wywoływały awarie w OSS-Fuzz i pozwalały na przejmowanie przepływu sterowania (control flow). Model radzi sobie również z lukami typu N-day oraz inżynierią wsteczną oprogramowania o zamkniętym kodzie źródłowym.
Skala wykrywania luk i ryzyko podwójnego zastosowania
W fazie testowej model wskazał tysiące nieznanych wcześniej błędów w popularnych systemach operacyjnych i przeglądarkach. System odnajduje usterki, które pozostawały niewykryte przez dziesięciolecia. Przykładem jest załatany już błąd w OpenBSD, który znajdował się w kodzie przez 27 lat.
Technologia ta ma charakter podwójnego zastosowania (dual-use). Narzędzia służące do łatania starych systemów mogą zostać użyte przez grupy przestępcze do automatyzacji ataków. Z tego powodu Anthropic ograniczyło dostęp do modelu. W ramach Project Glasswing korzysta z niego obecnie ponad 40 podmiotów, w tym firmy technologiczne i organizacje zajmujące się bezpieczeństwem cyfrowym.
Wpływ na pracę programistów i DevOps
Rozwój takich modeli zmienia podejście do web developmentu i procesów DevOps. Tradycyjne testy penetracyjne wykonywane raz na kwartał stają się niewystarczające, gdy sztuczna inteligencja potrafi w kilka godzin wykonać pracę, która ekspertowi zajmowała wiele dni. Ciągła walidacja bezpieczeństwa (continuous validation) staje się standardowym wymogiem.
Claude Mythos może pomóc w zabezpieczaniu potoków CI/CD poprzez automatyczne wykrywanie błędów pamięci czy warunków wyścigu (race conditions) w starym kodzie. Integracja takiej analizy bezpośrednio z codzienną pracą programistów ma docelowo utrudnić przeprowadzanie ataków i podnieść ogólny poziom bezpieczeństwa systemów.
Wyniki ewaluacji pokazują, że Anthropic koncentruje się na specjalistycznych zadaniach związanych z ochroną danych i infrastruktury. Jest to jeden z głównych kierunków rozwoju zaawansowanych modeli tej firmy.
Wyzwania i dalsze kroki
Skuteczność modelu w testach laboratoryjnych nie gwarantuje identycznych wyników w rzeczywistych warunkach. Systemy obronne, takie jak mechanizmy EDR (Endpoint Detection and Response), mogą skutecznie blokować działania podejmowane przez model. Kluczowym sprawdzianem będzie praca w środowiskach posiadających aktywne zabezpieczenia.
Pojawienie się Claude Mythos wywołało w branży dyskusję na temat odpowiedzialności za niezałatane luki w działających systemach. Poprzez Project Glasswing Anthropic testuje model dystrybucji technologii o wysokim ryzyku. Wyniki tego projektu pokażą, czy szerokie zastosowanie sztucznej inteligencji w cyberbezpieczeństwie realnie wzmocni ochronę, czy ułatwi przeprowadzanie ataków.
Dodaj komentarz