Na gelekte onthullingen eind maart dat Antropisch had ontwikkeld een krachtig nieuw Claude model, het bedrijf formeel aangekondigd Mythos Preview op dinsdag samen met nieuws over een industrieconsortium dat het heeft bijeengeroepen, bekend als Project Glasswing, om te worstelen met de cyberveiligheidsimplicaties van het nieuwe model en het bevorderen van mogelijkheden in het algemeen op het gebied van AI.
De groep omvat Microsoft, AppelEn Googlen evenals Amazon-webservicesde Linux Foundation, Cisco, NvidiaBroadcom en meer dan veertig andere technologie-, cyberbeveiligings-, kritieke infrastructuur- en financiële organisaties die privétoegang zullen hebben tot het model, dat nog niet algemeen wordt vrijgegeven. Het idee is deels simpelweg om de ontwikkelaars van ’s werelds fundamentele technologieplatforms de tijd te geven om Mythos Preview op hun eigen systemen te zetten, zodat ze kwetsbaarheden kunnen beperken en ketens kunnen exploiteren die het model ontwikkelt bij gesimuleerde aanvallen. Meer in het algemeen benadrukt Anthropic dat het doel van het bijeenbrengen van de inspanningen is om een urgent onderzoek op gang te brengen naar hoe AI-capaciteiten in de hele sector op de afgrond staan, zegt het bedrijf, om de huidige softwarebeveiliging en digitale verdedigingspraktijken over de hele wereld op zijn kop te zetten.
“De echte boodschap is dat dit niet over het model of Anthropic gaat”, vertelt Logan Graham, de frontier red teamleider van het bedrijf, aan WIRED. “We moeten ons nu voorbereiden op een wereld waarin deze mogelijkheden over 6, 12, 24 maanden breed beschikbaar zijn. Veel dingen zouden anders zijn als het gaat om beveiliging. Veel van de aannames waarop we de moderne beveiligingsparadigma’s hebben gebouwd, zouden kunnen breken.”
Modellen ontwikkeld en getraind door meerdere bedrijven zijn er steeds beter in geslaagd kwetsbaarheden in code te vinden verzachtingen voorstellen-of strategieën voor exploitatie. Hierdoor ontstaat een volgende generatie van het klassieke kat-en-muisspel van de beveiliging, waarin een tool verdedigers kan helpen, maar ook slechte actoren kan aanwakkeren en het gemakkelijker kan maken om aanvallen uit te voeren die ooit te duur of te complex waren om praktisch te zijn.
“Claude Mythos preview is een bijzonder grote sprong”, zei Anthropic CEO Dario Amodei dinsdag in een lanceringsvideo van Project Glasswing. “We hebben hem niet specifiek getraind om goed te zijn in cyber. We hebben hem getraind om goed te zijn in code, maar als neveneffect van goed zijn in code is hij ook goed in cyber.” Hij voegt er in de video aan toe dat “er krachtigere modellen van ons en van anderen zullen komen. En dus hebben we een plan nodig om hierop te reageren.”
Anthropic’s Graham merkt op dat Mythos Preview naast het ontdekken van kwetsbaarheden (waaronder het produceren van potentiële aanvalsketens en proofs of concept) ook in staat is tot meer geavanceerde exploit-ontwikkeling, penetratietesten, eindpuntbeveiligingsbeoordeling, jacht op verkeerde systeemconfiguraties en het evalueren van binaire softwarebestanden zonder toegang tot de broncode.
Bij het uitvoeren van een gespreide release van Mythos Preview, te beginnen met een samenwerkingsfase binnen de industrie, zegt Graham dat Anthropic probeerde gebruik te maken van de principes van gecoördineerde openbaarmaking van kwetsbaarheden, het proces waarbij ontwikkelaars de tijd krijgen om een bug te patchen voordat deze publiekelijk wordt besproken.
“We hebben Mythos Preview dingen zien bereiken die een senior beveiligingsonderzoeker zou kunnen bereiken”, zegt Graham. “Dit heeft zeer grote gevolgen voor de manier waarop dit soort mogelijkheden moeten worden vrijgegeven. Als dit niet zorgvuldig wordt gedaan, kan dit een betekenisvolle versneller zijn voor aanvallers.”
Partners van Project Glasswing, waaronder enkele concurrenten van Anthropic, sloegen tijdens de lancering een gezamenlijke toon aan in hun verklaringen.
“Google is verheugd dat dit brancheoverschrijdende cybersecurity-initiatief tot stand komt”, zegt Heather Adkins, Google’s vice-president van beveiligingstechniek, in een verklaring. “We hebben lang geloofd dat AI nieuwe uitdagingen met zich meebrengt en nieuwe kansen opent op het gebied van cyberdefensie.”
