Anthropicは先週、高レベルのサイバーセキュリティの脆弱性を発見できるAIモデルであるClaude Mythos Previewを発表し、業界全体にパニックを起こしました。
その成果の中で、このモデルは、アントロピックが27年間発見していないと主張したセキュリティで有名なオペレーティングシステムであるOpenBSDで現在パッチされている弱点を発見しました。
また、同社によると、オープンソースおよびクローズソースプログラム全体で「重大度が高く、重大度が高い数千の脆弱性」をさらに発見しました。
テクニカルインサイダーや他の専門家は、大規模な言語モデルがサイバーセキュリティを揺るがす可能性について恐れていましたが、25年の経験のある業界のベテランは懐疑的でした。
Contrast Securityの最高情報セキュリティ責任者であるDavid Lindnerは、FortuneとのインタビューでMythosが多くの問題を見つけるのに役立ちますが、これは必ずしも最も重要な問題ではないと述べました。
「私たちは脆弱性を見つけることに問題があったことはありません。私たちは毎日脆弱性を探しています。 「だから私はそれが本当に何も変わらないと思います」
Lindner 氏は、Mythos を発表する Anthropic のブログ記事で、モデルが発見した脆弱性の 99% 以上がパッチされていないと述べ、弱点を修正するよりも見つけるのが簡単だと指摘しました。
より具体的には、Mythosは、サイバーセキュリティ専門家が直面している最大の問題の1つである社会工学を解決するのにほとんど役に立たないと彼は言いました。ハッカーたちは依然として既存のツールとAIを利用して職員の上司やIT職員を詐称してシステムにアクセスできると主張した。
Anthropicは、Mythosが強く公開されていないことを明らかにし、Microsoft、Apple、Googleなどの技術企業だけでなく、サイバーセキュリティ会社CrowdStrikeや銀行JPMorgan Chaseなどの他の企業を含む40の組織グループにのみ提供されるため、Project Glasswingという努力を通じて独自のセキュリティインフラストラクチャを改善するためにこの技術を使用できると述べました。
あまりにも多くの人がこのモデルにアクセスできるため、Lindnerはこのモデルが長い間秘密に保たれないと予測しました。
「彼らがそれを公開していなくても、中国は5〜6ヶ月以内にバージョンを持つことになり、1〜2年でオープンソースバージョンが出るでしょう」と彼は言いました。
ちなみに、Fortuneは、同社が公にアクセス可能なデータベースに大規模な言語モデルの詳細を残したセキュリティミスのおかげで、Mythosの開発について初めて報告しました。
一方、ベンチャー投資家のMarc Andreessenは、アントロピックが本当にセキュリティ問題のためにMythosのリリースを保留しているのか、それとも一般リリースをサポートするコンピューティング能力が不足しているため疑問を投げかけました。 Anthropicは最近頻繁に中断し、ピーク時間帯にユーザーのコンピューティング供給が制限されたことを今週末にWall Street Journalが報告しました。
それにもかかわらず、他のサイバーセキュリティの専門家は、Mythosとサイバーセキュリティを再構成する可能性についてまだ警戒しています。セントルイスの保健科学薬学大学の最高情報責任者であり最高情報セキュリティ責任者であるZach Lewisは、Fortuneとのインタビューで、Mythosが悪意のある行為者、さらにはコーディング経験の少ない人もシステムを悪用することをはるかに簡単にするだろうと懸念しています。
「脅威の行為者は、これらのシステムがどのように機能するかを理解するために、コーディングやソフトウェアの設計について知る必要はありません。彼らはそれを実行できるエージェントを展開できます」
Lewisによると、組織のためのソリューションの一部は、1日に数千件ではなくても、数百件の攻撃の試みを既に阻止している戦略を倍増することにあるかもしれません。
これには、既存の脆弱性を修正し、従業員が悪用されないように権限を厳密に制限することが含まれます。
「物をロックする必要があります」と彼は言いました。
