Csak óvatosan meri útjára indítani új modelljét az Anthropic

Az infosec közösség legnagyobb egzisztenciális aggodalma évekig az volt, hogy a kvantumszámítógépek feltörik az összes klasszikus titkosítási módszert, de ez most változóban: a következő nagy fenyegetésnek egy olyan AI-modell tűnik, mely nem csak felderíti a nulladik napi sebezhetőségeket, de akár ki is használja azokat. Az Anthropic legújabb úttörő AI-modellje, a „Mythos” ezúttal nem a hagyományos módon mutatkozik be, mivel a cég kommunikációja szerint egy annyira erőteljes eszközről van szó, ami rossz kezekbe kerülve beláthatatlan következményekkel járhat. A hivatalosan nem kiadott modell képességeit egy rendkívül szűk csoport kezdheti el tesztelni a Project Glasswing biztonsági programban, melynek keretében 11 vezető partner kap korai korlátozott hozzáférést saját védelme megerősítéséhez, köztük az AWS, az Apple, a Google, az Nvidia, a CrowdStrike valamint további 40, főleg kritikus szoftvereken dolgozó kiválasztott szervezet.

Az Antropic ennek érdekében 100 millió dollárnyi kreditet különített el, ezen felül pedig 4 millió dollárt adományozott biztonsági csoportoknak, köztük az Apache Software Foundationnek. Az előnézeti időszak lejártával a Mythos használata egymillió bemeneti tokenenként 25 dollárba, millió kimeneti tokenenként pedig 125 dollárba fog kerülni, ami majdnem ötszöröse a jelenlegi csúcsmodell árának. Az árazás már magában azt tükrözi, hogy az Anthropic nem egyszerű kutatási projektjént kezeli a Mythost, a magas felárazással professzionális termékként pozicionálja azt a legnagyobb szervezetek számára.

A részletezett eredmények alapján a Mythos előnézeti modell önjáróan derített fel több ezer nulladik napi sebezhetőséget a meghatározó operációs rendszerekben és böngészőkben, köztük kritikusnak minősített sérülékenységeket. A legrégebb óta, kb. 27 éve rejtőzködő sérülékenységet az OpenBSD-ben sikerült detektálni, valamint egy 16 éve meghúzódó hibára derült fény az Ffmpeg videószoftverben is.

A bejelentés kiemeli, hogy a Linux kernelben található sebezhetőségeket sikerült összefűzni az adott eszköz feletti teljes kontroll átvétele érdekében. A sebezhetőségek láncolásával a modell képes több, külön-külön egyébként értelmetlennek tűnő sérülékenységet összefüggésbe hozni annak megállapítására, hogy azok együtt akár egy kifinomultabb exploitra adhatnak-e lehetőséget.

A Mythos a felderítésen túl sok esetben exploitokat is fejlesztett a sérülékenységekhez, ami különösen akkor lehet veszélyes, ha rossz kezekbe kerül az eszköz. A Claude Opus 4.6 esetében az Anthropic még úgy nyilatkozott hogy nem igazán használható a működő sérülékenységet kihasználó kódok fejlesztéséhez, ezzel ellenben a Mythos képes az esetek 72,4 százalékában működő sérülékenységet kihasználó kódot generálni.

Az AI erősokszorozó egy rutinos security szakember kezében Az AI nem csak a fejlesztésre van hatással: új sorozatunkban végignézzük, hogyan hat az informatika más részterületeire.

Az 1507 valós biztonsági hibára épített CyberGym teszten a Mythos előnézeti modell 83,1%-os eredményt ért el, míg az SWE-bench Verified teszten közel 94%-on teljesített. A benchmark nehezebb Pro szintjén pedig több mint 20 ponttal sikerült felülmúlni a korábbi modelleket, ami valódi előrelépést mutat. Mindezen eredményekre támaszkodva az Anthropic maga is úgy véli, hogy a modell rossz kezekbe kerülve veszélyes is lehet, ezért nem tervezi, hogy a közeljövőben általánosan hozzáférhető legyen a termék. A „modellünk túl veszélyes ahhoz, hogy nyilvánossá tegyük” narratíva egyben nagyszerű módja annak, hogy a cég hype-ot generáljon, de ebben az esetben több szakértő is úgy gondolja, hogy indokolt az óvatos megközelítés.

Az AI-fejlesztő bejelentésével kapcsolatban nehéz teljesen szétszálazni, mi az, ami kifejezetten a PR-ra ráerősítő kommunikációs túlzás, a fő partnerek legitimitása mindenesetre bizalmat előlegez. A Microsoft globális információbiztonsági vezetője, Igor Tsyganskiy szerint a Project Glasswinghez való csatlakozással a redmondi vállalat hatékonyabban azonosíthatja a termékeibe megbújó biztonsági kockázatokat, és bővítheti biztonsági és fejlesztési megoldásait. A Cisco alelnöke és biztonsági vezetője, Anthony Grieco szerint a technológiai szolgáltatók már nem tudják a hagyományos módszerekkel kellően megerősíteni rendszereiket, szinte törvényszerű, hogy a képbe kerül az AI is. Alex Stamos, a Corridor kiberbiztonsági cég termékigazgatója szintén úgy véli, hogy a Glasswing meghatározó lépcsőfok lesz a biztonság területén.

Az Anthropic láthatóan próbál lavírozni a biztonság és a saját piaci pozíciója erősítése közt. Azzal, hogy a korai partnerek hozzáférnek egy hatékony modellhez, cserébe pedig az Anthropic láthatja, hogyan működnek ezek az eszközök a tényleges biztonsági műveletekben, mindegyik fél számára előnyös. Befektetői szempontból nézve a jövőben azok a cégek profitálhatnak, melyek nem csak a hibák megtalálását, de a javítást is lehetővé teszik, és ténylegesen ellenőrzött javításokat tudnak kínálni a végpontokra, felhőre és identitáskezelésre összpontosító vállalatok számára.