O projeto Glasswing da Anthropic visa melhorar a segurança online
Jonathan Raa/NurPhoto, Getty Images)
As últimas semanas trouxeram algumas notícias decididamente preocupantes: Mythos. A Mythos identifica instantaneamente falhas de segurança cibernética que podem deixar sistemas operacionais e software vulneráveis a hackers. A comunidade de cibersegurança está agora a começar a compreender melhor como a Mythos tem o potencial de mudar a face da cibersegurança, e não necessariamente para pior.
O que é mito e por que as pessoas estão preocupadas com isso?
Mythos é uma IA criada pela Anthropic. Sua existência foi descoberta por acaso quando foi escavada no mês passado. Conteúdo no site da empresa e sem previsão de publicaçãonão foi seguro para ninguém ver.
Segundo a Anthropic, há um bom motivo para esse modelo ter sido mantido a portas fechadas. Isso porque, por acidente e não por design, ele é extremamente bom em hackear. Diz-se que ele é capaz de descobrir falhas em praticamente qualquer software e permitir que os usuários obtenham acesso mediante solicitação.
A Mythos descobriu milhares de vulnerabilidades críticas e de alta gravidade em sistemas operacionais e outros softwares, disse a empresa. Antrópico não respondeu. “Novo Cientista”Para comentar, a empresa declarado no site “As implicações económicas, de segurança pública e de segurança nacional podem ser graves.”
A empresa afirma que tomou a medida responsável de ocultá-lo.
Então ninguém pode usá-lo?
Não completamente. A Anthropic decidiu disponibilizar isso para um seleto grupo de gigantes financeiros e de tecnologia, incluindo Amazon Web Services, Apple, Google, JPMorganChase, Microsoft e NVIDIA, sob os nomes abaixo. projeto glasswing Isso permite que você descubra bugs em seu próprio software antes que outros o façam.
Membros de fóruns online privados também conseguiram obter acesso não autorizado ao exame. relatório Eles sugerem que simplesmente fizeram um “palpite fundamentado” sobre onde o modelo seria hospedado online. Este é o mesmo tipo de problema que levou à revelação da existência do Mythos em primeiro lugar. Talvez as empresas que estão muito preocupadas com a segurança cibernética também precisem prestar mais atenção à sua própria segurança.
Embora este modelo tenha sido inicialmente planeado para ser mantido em segredo e sem utilização, recebeu agora uma atenção significativa e está a ser testado pelos melhores especialistas em segurança cibernética do mundo. É claro que muitas dessas empresas também são os maiores clientes potenciais da Anthropic, e o entusiasmo sobre o poder da Mythos certamente não prejudicará a Anthropic.
O especialista em segurança Davy Ottenheimer resumiu a situação. em uma postagem de blog como uma “capacidade tecnológica legítima reconfigurada como uma ameaça à civilização, pelas partes que lucram com a reconfiguração”.
É tão perigoso quanto as pessoas estão fazendo barulho?
Kevin Curran Pesquisadores da Universidade de Ulster, no Reino Unido, dizem que a exposição ao Mythos e seu potencial “desencadeou o alarme em toda a indústria de segurança”, embora os pesquisadores estejam divididos sobre a gravidade da ameaça. “E se uma máquina pudesse fazer em segundos o que um hacker humano qualificado levaria meses para realizar?” ele se pergunta.
Mas há sinais de que ainda não é hora de entrar em pânico. Bobby Holley no Firefox – uma das organizações permitiu acesso ao Mythos – Eu escrevi isso em uma postagem do blog Esse modelo ajudou sua equipe a descobrir 271 vulnerabilidades em navegadores da web. Esta é certamente uma quantia considerável, mas nada disso era tão original, tão impenetravelmente complexo e tão avançado que nenhum ser humano pudesse desenterrá-lo.
“Apenas um desses bugs geraria alertas vermelhos até 2025. E com tantos bugs ao mesmo tempo, nos perguntamos se é possível acompanhar”, escreveu Hawley. “Para ser tranquilizador, não encontramos nenhum dos seguintes bugs. não consegui fazer isso Descoberto por pesquisadores humanos de elite. ”
e o AI Security Institute (AISI), que foi estabelecido pelo então primeiro-ministro britânico Rishi Sunak após a Cúpula de IA do Reino Unido de 2023. mitos pesquisados. Os testes revelaram que ele só poderia atacar “sistemas corporativos pequenos, mal defendidos e vulneráveis”, uma melhoria em relação aos modelos anteriores, mas não houve indicação de que software ou redes verdadeiramente seguras estivessem em risco. E a AISI alertou que a situação estava a melhorar rapidamente. AISI não comentou as perguntas. novo cientista Para discutir ameaças.
Alan Woodward O professor da Universidade de Surrey, no Reino Unido, tem uma visão pragmática sobre o Mythos e todos os outros modelos de IA em geral, bem como a capacidade de descobrir vários graus de vulnerabilidades cibernéticas. “A IA não consegue necessariamente encontrar vulnerabilidades que os humanos não conseguem encontrar, mas é muito mais rápida, mais completa e mais persistente, por isso pode encontrar vulnerabilidades que os humanos não teriam percebido”, diz ele. “Como demonstra a Mythos, a IA está tornando o trabalho dos atacantes mais eficiente, dando-lhes velocidade e agilidade que tornam a defesa difícil, mas não impossível.”
Em outras palavras, o Mythos pode encontrar falhas em grande escala e rapidamente, mas ainda não parece ter encontrado nada catastroficamente perigoso. E há até motivos para acreditar que isso pode realmente ser uma coisa boa.
Como hackear IA pode ser positivo?
“As falhas são finitas e estamos finalmente entrando em um mundo onde podemos encontrar todas elas”, escreve Hawley. Essencialmente, se você estiver escrevendo ou mantendo software, poderá usar o Mythos para desmontar e até mesmo corrigir seu próprio código (talvez antes mesmo de ele ser lançado).
A IA quase certamente se tornará melhor na detecção de falhas, e os atores mal-intencionados quase certamente obterão algum benefício com isso. Mas isso também poderia ajudar os fabricantes de software. Ainda assim, aqueles que mantêm software governamental desatualizado e desajeitado, escrito há décadas, podem achar difícil mantê-lo atualizado.
Até a Anthropic diz que o hacking de IA acabará beneficia mais o defensor do que o atacante – Mas, novamente, dizer o contrário torna mais difícil justificar a sua criação.
Fundamentalmente, a IA tornou e continuará a tornar mais fácil hackear e proteger contra hackers, mas aqueles que ignorarem esta tecnologia estarão em enorme desvantagem.
“Trate o Mithos como um tiro de advertência”, diz Curran. “E suponhamos que dentro de 18 meses, capacidades equivalentes estejam nas mãos dos nossos adversários. A janela de oportunidade para avançarmos nisso está aberta, mas está a fechar-se rapidamente.”
tópico:
