Anthropics Claude Mythos Preview har utlöst en våg av djärva påståenden om framtidens AI och dess roll inom cybersäkerhet. Rapporter om tusentals upptäckta sårbarheter, inklusive problem som förmodligen har funnits oupptäckta i årtionden, positionerar modellen som en transformativ kraft inom både attack och försvar. Samtidigt signalerar initiativ som Project Glasswing att branschen anstränger sig för att förebygga riskerna innan de realiseras fullt ut.

Myter och påståenden kontra verklighet: att skilja förmåga från hype

Det är dock viktigt att notera att Mythos inte har släppts offentligt och att det fortfarande är begränsat till en kontrollerad grupp av organisationer, vilket gör att oberoende validering av dessa påståenden är begränsad. Men som med all ny teknik är det viktigt att skilja på kapacitet och hype.

Ur ett cybersäkerhetsperspektiv kräver påståendena kring Mythos granskning. Enligt Richard Ford, CTO på Integrity360, visar den tidiga utvärderingen av modellen en mer uppmätt verklighet:

"De rapporterade utvärderingarna av Mythos som ett autonomt attackverktyg visar att den är kapabel, men inte nödvändigtvis bättre än befintliga stora språkmodeller. Med det sagt kommer den, om den används av hotaktörer, att vara effektiv när det gäller att rikta in sig på organisationer med svag säkerhet."

Samtalet handlar inte om huruvida Mythos är revolutionerande i sig, utan om hur det fungerar i verkliga förhållanden. Även om Mythos inte är betydligt bättre än nuvarande modeller innebär dess förmåga att skala upp aktiviteter och arbeta autonomt en annan typ av risk. Attackförmågan behöver inte vara perfekt för att vara farlig. Den behöver bara vara konsekvent och allmänt tillgänglig.

Anthropics påståenden kring upptäckt av sårbarheter är särskilt uppseendeväckande. Förslaget att tusentals tidigare oidentifierade sårbarheter har upptäckts, inklusive några som går tillbaka nästan tre decennier, talar om potentialen för AI-driven analys. Dessa resultat är dock till stor del självrapporterade, med begränsad oberoende validering.

Som Richard konstaterar:

"Det behövs en viss försiktighet här. Resultaten är självutnämnda med liten extern verifiering. Frågan är om detta är överdrivet eller om det återspeglar en verklig förmåga. Är det mer av en marknadsföringshype? Detta kan behöva ses tillsammans med det senaste borttagandet av deras produkter för federal användning i USA. En skeptiker skulle kunna fråga sig om de är i behov av en bra nyhet."

Branschens skepsis och behovet av oberoende validering

Skepsisen är befogad inom cybersäkerhetsbranschen. Ny teknik kommer ofta med ambitiösa påståenden, och det tar tid för oberoende tester och användning i verkligheten att validera dem. Vi har sett liknande hype och oro när ChatGPT först släpptes, och rädslan för skapande av AI-skadlig programvara och autonoma skadliga attacker, varav ingen av dem kom att förverkligas på det sätt och de tidsskalor som föreslogs. Tidpunkten för sådana tillkännagivanden inbjuder också till ytterligare granskning, särskilt med tanke på bredare branschdynamik och kommersiella påtryckningar.

Genom att granska Anthropics Mythos Preview System Card, som beskriver deras bedömning av dess kapacitet, kan du se att det uppnådde några av påståendena under specifika förhållanden. Detta inkluderar ocensurerade kontrollpunkter och borttagning av skyddsräcken för att optimera prestanda och undvika vägran. Detta var tillsammans med brute forcing-scenarier med stora beräkningskostnader. Båda är inte representativa för verklig användning efter lansering.

Om de beskrivna funktionerna är korrekta är konsekvenserna betydande. En av de mest omedelbara effekterna kan vara på ekosystemet för bug bounty och rollen som etiska hackare:

"Om dessa påståenden stämmer har det potential att störa bug bounty-program och den bredare marknaden för etisk hackning. Vi ser redan tidiga indikatorer på detta med AI-drivna plattformar som presterar starkt i konkurrenskraftiga CTF-miljöer."

De nuvarande begränsningarna för AI utgör dock en viktig motvikt:

"Där dessa system fallerar är när det gäller att förstå djup affärslogik. Det kontextuella lagret är fortfarande något som kräver mänsklig expertis."

Organisationer måste förbereda sig för AI-drivna cyberhot nu

Detta förstärker en viktig punkt. AI går snabbt framåt, men det har inte ersatt behovet av skickliga yrkesutövare. Istället förändrar det hur de arbetar och var deras expertis är mest värdefull.

Det finns också en bredare och mer konstruktiv tolkning av denna utveckling. Om AI kan identifiera sårbarheter i stor skala har det potential att avsevärt förbättra organisationers säkerhet. Snabbare upptäckt av nolldagar och kontinuerlig testning kan stärka motståndskraften över hela linjen.

Men det innebär också en ny operativ utmaning, som Richard förklarar:

"Det handlar inte bara om att hitta sårbarheter, utan också om vad man gör med dem. Organisationer kämpar redan med att prioritera och patcha på ett effektivt sätt. Om AI exponentiellt ökar volymen blir den utmaningen ännu svårare, samtidigt som angriparna får fler möjligheter."

Det är här samtalet återgår till kontroll. Oavsett om Anthropics påståenden förverkligas fullt ut eller inte, så är riktningen tydlig. AI kommer att öka hastigheten och omfattningen av både angrepp och försvar. Organisationer måste vara beredda att hantera den verkligheten.

Project Glasswing och kapplöpningen för att säkra AI-system

Initiativ som Project Glasswing är ett steg i rätt riktning och syftar till att säkra AI-system innan de utnyttjas på bred front. Men som Richard framhåller:

"Att identifiera sårbarheter är bara en del av ekvationen. Att patcha, testa och distribuera fixar i stor skala är inte snabbt eller trivialt, särskilt inte om antalet ökar avsevärt. Och det handlar inte bara om att tillämpa korrigeringar, korrigeringarna måste också skapas. Huruvida de blygsamma tidsramar som Project Glasswing erbjuder kommer att ge leverantörerna tillräckligt med tid för att skapa korrigeringar, särskilt om det finns en stor volym av dem, är något vi kommer att ta reda på under de kommande veckorna och månaderna. Lanseringen av Mythos ligger på is för tillfället, men Anthropic kommer inte att avvakta för evigt."

I slutändan handlar debatten kring Anthropic Mythos mindre om huruvida påståendena är helt korrekta och mer om vad de representerar. AI håller på att omforma cybersäkerheten på en grundläggande nivå. De organisationer som lyckas kommer att vara de som anpassar sig snabbt och bygger upp både förmågan att utnyttja AI och kontrollerna för att hantera den på ett effektivt sätt.

Som Richard uttrycker det:

"Alla organisationer som inte bygger upp ett AI-drivet cyberförsvar kommer att hamna på efterkälken och direkt hamna i angriparnas sikte."

Oavsett om påståendena kring Mythos är överdrivna, så är inte behovet av kontroll det.

grundläggande cybersäkerhet är fortfarande viktigt i AI:s tidsålder

Avgörande är att det förstärker vikten av att göra det grundläggande rätt. Regelbunden tillämpning av säkerhetsuppdateringar, stark åtkomstkontroll, säker konfiguration och omfattande loggning är fortfarande viktigt. Att skydda sig mot vanliga hot är fortfarande grunden för effektiv cybersäkerhet, oavsett om dessa hot är AI-assisterade eller inte. Organisationer som införlivar dessa grunder och samtidigt bygger upp AI-drivna cyberförsvarsfunktioner kommer att ha de bästa förutsättningarna för att hålla sig motståndskraftiga när hotbilden utvecklas.

Om du behöver hjälp med dina cybersäkerhetsbehov kan du kontakta experterna på Integrity360 idag.