Antropisch zei dit week dat het debuut van zijn nieuwe Claude Mythos Preview-model markeert een cruciaal moment in de evolutie van cyberbeveiliging en vertegenwoordigt een ongekende existentiële bedreiging voor bestaande softwareverdedigingsstrategieën. Is het dus meer een AI-hype, of een echt keerpunt?
Volgens Anthropic overschrijdt Mythos Preview een drempel van mogelijkheden om kwetsbaarheden in vrijwel elk besturingssysteem, browser of ander softwareproduct te ontdekken en autonoom werkende exploits voor hacking te ontwikkelen. Met dit in gedachten geeft het bedrijf het nieuwe model voorlopig alleen aan enkele tientallen organisaties vrij, waaronder Microsoft, Apple, Google en de Linux Foundation, als onderdeel van een consortium genaamd Project Glasswing. Maar na jaren van speculatie over hoe generatieve AI de cyberveiligheid zou kunnen beïnvloeden, leidde het nieuws van deze week tot controverse over de vraag of er echt een afrekening is gekomen en hoe deze er in de praktijk uit zou kunnen zien.
Sommigen zijn uiterst sceptisch over de beweringen van Anthropic. Ze beweren dat bestaande AI-agenten gebruikers nu al kunnen helpen kwetsbaarheden veel gemakkelijker en goedkoper dan ooit tevoren te vinden en te exploiteren, en dat deze realiteit verfijningen aanwakkert in de manier waarop bedrijven hun software ontdekken en patchen zonder het paradigma fundamenteel te veranderen. En dan is er nog de vervelende factor dat Anthropic vrijwel zeker financieel zal profiteren van het positioneren van zijn nieuwste model als mysterieus, uniek krachtig en exclusief. Andere onderzoekers en praktijkmensen zeggen echter dat ze het eens zijn met de beoordeling van Anthropic en wijzen erop dat het bedrijf heeft gezegd dat Mythos Preview slechts de eerste is die mogelijkheden bereikt die uiteindelijk algemeen beschikbaar zullen zijn in andere modellen.
“Ik ben doorgaans erg sceptisch over deze dingen, en de open source-gemeenschap is vaak erg sceptisch, maar ik heb fundamenteel het gevoel dat dit een reële bedreiging is”, zegt Alex Zenla, chief technology officer van cloudbeveiligingsbedrijf Edera.
Zenla en anderen wijzen specifiek op één Mythos Preview-mogelijkheid als draaipunt. Generatieve AI, zo zeggen ze, wordt nu steeds beter in staat om zogenaamde ‘exploitketens’ te identificeren en te ontwikkelen, of groepen kwetsbaarheden die achtereenvolgens kunnen worden uitgebuit om een doelwit – in wezen Rube Goldberg-hacking in machinestijl – diep in gevaar te brengen. Veel van de meest geavanceerde hacktechnieken maken gebruik van exploitketens, waaronder zogenaamde zero-click-aanvallen die een systeem in gevaar brengen zonder enige interactie van een gebruiker te vereisen.
“We leven al in een wereld waarin bedrijven kwetsbare software en hardware gebruiken en moeite hebben met patchen. Veel bedrijven zijn niet in staat hun infrastructuur te beveiligen – dat is van gisteren tot vandaag niet echt veranderd”, zegt Niels Provos, een ervaren beveiligingsingenieur en onderzoeker. “Maar voor zover ik het begrijp, is Mythos echt goed in het bedenken van meerfasige kwetsbaarheden en levert het vervolgens ook het bewijs van exploitatie. Ik denk niet dat het de probleemruimte intrinsiek verandert, maar wel het vereiste vaardigheidsniveau om deze kwetsbaarheden te vinden en te exploiteren.”
Een beperkte release van Mythos Preview voor Project Glasswing-deelnemers geeft verdedigers slechts een kleine aanlooptijd om zwakke punten in hun eigen systemen te vinden met behulp van het model en om breder te worstelen met hoe softwareontwikkeling, updatecycli en patch-acceptatie moeten veranderen voordat aanvallers zelf wijdverbreide toegang hebben tot dergelijke mogelijkheden.
Leiders uit de sector lijken gehoor te geven aan de waarschuwing. Logan Graham, de frontier red-teamleider van Anthropic, vertelde dinsdag aan WIRED dat toen het bedrijf contact opnam met organisaties over Project Glasswing voorafgaand aan de aankondiging van deze week, de telefoontjes steeds korter werden omdat de potentiële dreiging steeds duidelijker werd.
“Dit is een probleem waar alle modelontwikkelaars bij betrokken zijn. Ons doel hier is alleen maar om dingen op gang te brengen”, zei Graham. “Het is heel belangrijk dat Mythos Preview in handen komt van verdedigers om een voorsprong te geven.”
