Antropic zei dit week dat het debuut van zijn nieuwe Claude Mythos Preview-model markeert een cruciaal moment in de evolutie van cyberbeveiliging en vertegenwoordigt een ongekende existentiële bedreiging voor bestaande softwareverdedigingsstrategieën. Is het dus meer een AI-hype, of een echt keerpunt?
Volgens Anthropic overschrijdt Mythos Preview een drempel van mogelijkheden om kwetsbaarheden in vrijwel elk besturingssysteem, browser of ander softwareproduct te detecteren en zelfstandig werkende exploits voor hacking te ontwikkelen. Met dit in gedachten geeft het bedrijf het nieuwe model voorlopig alleen vrij aan enkele tientallen organisaties – waaronder Microsoft, Apple, Google en de Linux Foundation – als onderdeel van een consortium genaamd Project Glasswing. Maar na jaren van speculatie over hoe generatieve AI de cyberveiligheid zou kunnen beïnvloeden, heeft het nieuws van deze week de controverse aangewakkerd over de vraag of er echt een wiskunde is gekomen en hoe deze er in de praktijk uit zou kunnen zien.
Sommigen zijn uiterst sceptisch over de beweringen van Anthropic. Ze beweren dat bestaande AI-agenten gebruikers nu al kunnen helpen kwetsbaarheden veel gemakkelijker en goedkoper dan ooit tevoren te vinden en te exploiteren, en dat deze realiteit verbeteringen aanwakkert in de manier waarop bedrijven hun software detecteren en patchen zonder het paradigma fundamenteel te veranderen. En dan is er nog de vervelende factor dat Anthropic vrijwel zeker financieel zal profiteren van het positioneren van zijn nieuwste model als mysterieus, uniek krachtig en exclusief. Andere onderzoekers en praktijkmensen zeggen echter dat ze het eens zijn met de beoordeling van Anthropic en wijzen erop dat het bedrijf heeft gezegd dat de Mythos Preview slechts de eerste is die mogelijkheden bereikt die uiteindelijk algemeen beschikbaar zullen zijn in andere modellen.
“Ik ben doorgaans erg sceptisch over deze dingen, en de open source-gemeenschap heeft de neiging erg sceptisch te zijn, maar ik heb fundamenteel het gevoel dat dit een reële bedreiging is”, zegt Alex Zenla, chief technology officer van cloudbeveiligingsbedrijf Edera.
Zenla en anderen wijzen specifiek op een Mythos Preview-functie als centraal punt. Generatieve AI, zo zeggen ze, wordt nu steeds beter in staat om zogenaamde ‘exploitketens’ te identificeren en te ontwikkelen, of groepen kwetsbaarheden die achtereenvolgens kunnen worden uitgebuit om een doelwit – in wezen Rube Goldberg – machine-achtig hacken diep in gevaar te brengen. Veel van de meest geavanceerde hacktechnieken maken gebruik van exploitketens, waaronder zogenaamde zero-click-aanval waardoor een systeem in gevaar wordt gebracht zonder dat interactie van een gebruiker vereist is.
“We leven al in een wereld waarin bedrijven kwetsbare software en hardware gebruiken en moeite hebben met patchen. Veel bedrijven zijn niet in staat hun infrastructuur te beveiligen – die is niet echt veranderd van gisteren tot vandaag”, zegt ervaren beveiligingsingenieur en onderzoeker Niels Provos. “Maar voor zover ik het begrijp, is Mythos erg goed in het bedenken van kwetsbaarheden in meerdere fasen en het leveren van bewijs van exploitatie. Ik denk niet dat dit op zichzelf de probleemruimte verandert, maar wel het vaardigheidsniveau dat nodig is om die kwetsbaarheden te vinden en te exploiteren.”
Een beperkte release van de Mythos Preview voor Project Glasswing-deelnemers geeft verdedigers slechts een kleine aanlooptijd om zwakke punten in hun eigen systemen te vinden met behulp van het model en om breder te worstelen met hoe softwareontwikkeling, updatecycli en patch-acceptatie moeten veranderen voordat aanvallers zelf wijdverspreide toegang hebben tot dergelijke mogelijkheden.
Leiders uit de sector lijken gehoor te geven aan de waarschuwing. Logan Graham, de frontier red-teamleider van Anthropic, vertelde dinsdag aan WIRED dat toen het bedrijf voorafgaand aan de aankondiging van deze week contact opnam met organisaties over Project Glasswing, de telefoontjes steeds korter werden naarmate de potentiële dreiging duidelijker werd.
“Dit is een probleem waar alle modelontwikkelaars bij betrokken zijn. Ons doel hier is alleen maar om dingen op gang te krijgen”, zei Graham. “Het is heel belangrijk dat de Mythos Preview in handen komt van verdedigers om hen een voorsprong te geven.”
