A Anthropic disse na terça-feira que um modelo de inteligência artificial ainda não lançado, chamado Claude Mythos, provou ser particularmente hábil em descobrir falhas de software.
A Mythos descobriu milhares de vulnerabilidades em aplicativos comumente usados para os quais ainda não há patches ou correções. Isto levou a startup de IA com sede em São Francisco a formar uma aliança com especialistas em segurança cibernética para melhorar a defesa contra hackers e restringir a distribuição generalizada.
“Temos um novo modelo que explicitamente não divulgamos ao público”, disse Mike Krieger, da Anthropic Labs, na conferência HumanX AI em São Francisco.
Em vez disso, a Anthropic permitiu que especialistas e engenheiros de segurança cibernética da comunidade de código aberto trabalhassem com a Mythos para usar o modelo como uma arma defensiva “para pré-armá-los”, explicou Krieger.
O salto nas capacidades dos modelos de IA surge como preocupações sobre o uso de ferramentas por hackers para descobrir senhas ou quebrar criptografia destinada a manter os dados seguros.
As vulnerabilidades mais antigas descobertas pela Mythos datam de 27 anos, e nenhuma foi detectada por seus criadores antes de ser identificada por modelos de IA, de acordo com a Anthropic.
Mythos é a última geração da família de IA de Claude Anthropic, e um vazamento recente de parte de seu código levou a startup a lançar uma postagem no blog alertando que ele representa um risco de segurança cibernética sem precedentes.
“Os modelos de IA atingiram um nível de capacidade de codificação onde podem superar todos, exceto os humanos mais qualificados, na descoberta e exploração de vulnerabilidades de software”, disse a Anthropic em uma postagem no blog. “O impacto – na economia, na segurança pública e na segurança nacional – pode ser grave.”
As vulnerabilidades de software expostas pela Mythos são muitas vezes sutis e difíceis de detectar sem IA, de acordo com a Anthropic. Por exemplo, diz-se que a Mythos descobriu uma falha até então desconhecida num software de vídeo que foi testada mais de 5 milhões de vezes pelo seu criador.
Por precaução, a Anthropic compartilhou versões do Mythos com as empresas de segurança cibernética CrowdStrike e Palo Alto Networks, bem como com Amazon, Apple e Microsoft, em um projeto denominado “Glasswing”.
Os gigantes das redes Cisco e Broadcom participaram do projeto, juntamente com a Linux Foundation, que promove o sistema operacional Linux gratuito e de código aberto.
“Este trabalho é muito importante e urgente para ser feito sozinho”, disse Anthony Grieco, diretor de segurança e confiança da Cisco, em um comunicado conjunto sobre a Glasswing. “As capacidades de IA ultrapassaram um limite que altera fundamentalmente a urgência necessária para proteger infraestruturas críticas contra ameaças cibernéticas, e não há como voltar atrás.”
Diz-se que cerca de 40 organizações envolvidas no projeto, manutenção ou operação de sistemas de computador aderiram à Glasswing. Os parceiros do projeto compartilharão suas descobertas do Mythos, de acordo com a Anthropic, que está fornecendo US$ 100 milhões em recursos computacionais para a missão. Os primeiros trabalhos com modelos de IA mostraram que eles podem ajudar a encontrar e corrigir vulnerabilidades de software e hardware em uma velocidade e escala que antes eram impossíveis, de acordo com Grieco.
“A janela entre uma vulnerabilidade ser descoberta e ser explorada por um adversário entrou em colapso – o que antes levava meses agora pode ser feito em minutos com IA”, disse Elia Zaitsev, diretor de tecnologia da Crowdstrike.
“A prévia de Claude Mythos mostra o que agora é possível para os defensores em grande escala, e os adversários certamente procurarão explorar as mesmas capacidades”, acrescentou.
A Antrópico disse que estava em discussões com o governo dos EUA sobre a Mythos, apesar da decisão da Casa Branca em fevereiro de encerrar todos os contratos com a startup. A ordem foi suspensa por um juiz do tribunal federal enquanto o processo da Anthropic tramita no tribunal.
