Jogosulatlanul férhettek hozzá a Claude Mythos-hoz
Az Anthropic hatékonynak, de ugyanakkor veszélyesnek tartott szűk körben elérhető eszközéhez olyan is hozzáférhetett, akinek nem szabadna. A cég már vizsgálja az ügyet.
Egy szűk felhasználói csoport férhetett hozzá jogosulatlanul az Anthropic nemrég bejelentett Mythos Preview AI-modelljéhez, mely a cég kommunikációja szerint annyira erőteljes, hogy rossz kezekbe kerülve beláthatatlan következményekkel járhat a használata.
A Bloomberg ügyhöz közeli forrásokra és dokumentumokra alapozott beszámolója alapján egy „privát online fórum” tagjai külsős vendor környezeten keresztül szerezhettek hozzáférést a Claude Mythos Preview-hoz, az Anthropic már vizsgálja az ügyet. A vállalat közleménye szerint egyelőre nincsenek bizonyítékok arra, hogy a feltételezett jogosulatlan tevékenység bármilyen módon hatással lett volna az Anthropic rendszerére.
A csoport különböző stratégiákat vetett be a modellhez való hozzáférés megszerzéséhez, többek közt social engineering módszereket a Bloomberg által megszólaltatott egyik külsős vállalkozó alkalmazottjánál. Azóta a Mythost rendszeresen használhatják, amit a lap birtokába került bizonyító erejű képernyőképek és a szoftver élő bemutatója is megerősít.
Az AI erősokszorozó egy rutinos security szakember kezében Az AI nem csak a fejlesztésre van hatással: új sorozatunkban végignézzük, hogyan hat az informatika más részterületeire.
Amennyiben igaznak bizonyulnak a jelentések, rendkívül kellemetlen helyzetet idéz elő az Anthropic számára. A hivatalosan nem kiadott modell képességeit egy rendkívül szűk csoport kezdhette el tesztelni a Project Glasswing biztonsági programban, melynek keretében 11 vezető partner kap korai korlátozott hozzáférést saját védelme megerősítéséhez, köztük az AWS, az Apple, a Google, az Nvidia, a CrowdStrike valamint további 40, főleg kritikus szoftvereken dolgozó kiválasztott szervezet.
A napokban került napvilágra az a hír is, hogy az Axios ügyhöz közelálló forrásai szerint az Amerikai Nemzetbiztonsági Ügynökség (NSA) egyike lehet a kiválasztott több tucat szervezetnek, amelyeknek az Anthropic hozzáférést biztosított, és egy másik forrás szerint egyre szélesebb körben használják a minisztériumon belül is a megoldást. Az NSA annak ellenére használhatja az Anthropic egyik fejlett modelljét, hogy a védelmi minisztérium tiltólistára helyezte a céget. Elméletben a besorolás kizárná a céget minden hivatalos védelmi együttműködésből, különösen ha érzékeny rendszerekről van szó. Ennek ellenére az NSA informális csatornákon keresztül továbbra is a kockázatnak minősített fejlesztő eszközéhez nyúlhat, ami arra utal, hogy a gyakorlati igények felülírják a formális szabályozási kereteket.
A korábban megosztott eredmények alapján a Mythos előnézeti modell önjáróan derített fel több ezer nulladik napi sebezhetőséget a meghatározó operációs rendszerekben és böngészőkben, köztük kritikusnak minősített sérülékenységeket. A legrégebb óta, kb. 27 éve rejtőzködő sérülékenységet az OpenBSD-ben sikerült detektálni, valamint egy 16 éve meghúzódó hibára derült fény az Ffmpeg videószoftverben is.
A modell a felderítésen túl sok esetben exploitokat is fejlesztett a sérülékenységekhez, ami különösen akkor lehet veszélyes, ha rossz kezekbe kerül az eszköz. A Claude Opus 4.6 esetében az Anthropic még úgy nyilatkozott hogy nem igazán használható a műkdő sérülékenységet kihasználó kódok fejlesztéséhez, ezzel ellenben a Mythos képes az esetek 72,4 százalékában működő sérülékenységet kihasználó kódot generálni.