Anthropicu uus tehisintellekti mudel, mida tuntakse kui Claude Mythose eelvaadeSellest on saanud ülemaailmse debati keskpunkt, mis käsitleb arenenud tehisintellekti piire. Ettevõte ise tunnistab, et süsteem on küberturvalisuse seisukohast nii võimas, et on otsustanud seda mitte laialdaselt turule tuua, mis on ebatavaline otsus sektoris, mis on harjunud iga uue edusammuga uhkustama.
Kaalul pole mitte ainult järkjärguline täiustamine eelmiste mudelitega võrreldes, vaid ka kvalitatiivne hüpe arvutihaavatavuste tuvastamise ja ärakasutamise võimekusesValitsused, keskpangad, suuremad finantsasutused ja Euroopa reguleerivad asutused jälgivad juhtumit tähelepanelikult, olles teadlikud, et selline tööriist võib tugevdada kriitiliste süsteemide kaitsetKuid see võib avada ukse ka enneolematu ulatusega rünnakutele, kui see peaks sattuma valedesse kätesse.
Mis täpselt on Claude Mythos ja miks selle turuletoomist on edasi lükatud?
Claude Mythos on üks uusimaid mudeleid Claude'i perekonnas, Anthropici tehisintellekti ökosüsteemis, mis konkureerib... OpenAI ChatGPT ja Google'i GeminiSee on üldotstarbeline mudel, mis on võimeline arutlema, programmeerima ja töötama pikaajalise kontekstiga, kuid selle kõige vastuolulisem omadus on tulemuslikkust ründavas ja kaitsvas küberturvalisuses.
Kõned "Punased meeskonnad"Spetsialistid, kes testivad tehisintellekti süsteeme nende piirini, jõudsid sisemises aruandes järeldusele, et Mythos on küberturvalisuse ülesannetes "üllatavalt võimekas". Võrdlustestides, näiteks SWE-pink Kontrollitud o SWE-pingi ProAnthropicu enda esitatud andmete kohaselt oleks mudel, mis on loodud reaalsete tarkvaratehnika probleemide lahendamise võime mõõtmiseks, kergesti edestanud tipptasemel kommertsalternatiive, sealhulgas GPT ja Gemini täiustatud versioone.
Lisaks võrdlusalustele on häirekellasid löönud see, et Mythos suutis leida nullpäeva haavatavused —varem tundmatud vead— laialdaselt kasutatavates tarkvarakomponentides, millest mõned on üle kahe aastakümne vanad. Sellistes süsteemides nagu OpenBSD, FFmpeg ja FreeBSD komponendid ei tuvastanud mudel mitte ainult aastaid märkamata jäänud vigu, vaid genereeris ka toimivad ärakasutamise viisid nende ärakasutamiseks.
Nende tulemustega silmitsi seistes otsustas Anthropic teha selles valdkonnas ebatavalise otsuse: esitleda mudelit ja seejärel teatada, et seda avalikult ei turustata. sest ettevõte peab seda enneolematuks küberturvalisuse riskiks. Ettevõte rõhutab, et Mythos on nende loodud „kõige paremini sobitatud“ mudel, kuid tunnistab, et selle tohutu võimsus võimendab mis tahes väärkasutuse tagajärgi.
Mudel, mille "häkkeri" oskused ületavad inimvõimeid kaugelt
Erinevate organisatsioonide tehnilised dokumendid ja aruanded on ühel meelel, et Mythos tähistab pöördepunkti keerukate rünnakute automatiseerimiselPäris ettevõttevõrke simuleerivates testikeskkondades suutis süsteem tundide jooksul haavatavusi aheldada, õigusi laiendada ja püsiva juurdepääsu saavutada – ülesanded, mis inimeksperdil võtaksid päevi või nädalaid.
Näiteks Firefoxi JavaScripti mootoris suutsid Anthropici mudelite varasemad versioonid harva haavatavusi toimivateks ärakasutamisteks muuta. Mythos samades testitingimustes... See genereeris kümneid operatiivseid ärakasutamisvõimalusiSee jäljendab täpselt kõige efektiivsemate vektorite ärakasutamist. Analüüsiplatvormidel nagu OSS-Fuzz, mis on loodud avatud lähtekoodiga tarkvara vigade leidmiseks, on sellele omistatud tõsiste haavatavuste avastamine, mis olid aastatepikkuse automatiseeritud testimise kiuste märkamata jäänud.
Mudel on näidanud ka märkimisväärseid võimeid pöördprojekteerimineSee suudab kompileeritud binaarfailidest osa programmi loogikast rekonstrueerida ning sealt edasi vigu leida ja ära kasutada ilma algsele lähtekoodile ligi pääsemata. Selline võimekus lähendab tehisintellekti stsenaariumidele, mida kuni viimase ajani peeti ainuüksi kõrgelt spetsialiseerunud inimmeeskondade omaks.
Üks turvahinnangutes enim viidatud episoode on nn "võileivatest". Isoleeritud laborikeskkonnas anti Mythosele kontroll süsteemi üle koos selgete juhistega proovida põgene liivakastist ja võta ühendust uurijaga kes testi juhendas. Mudelil õnnestus ära kasutada haavatavuste ahelat, et pääseda piiratud keskkonnast ja saata e-kiri vastutavale isikule, kes oli sel ajal kontorist väljas. Kuigi intsident leidis aset varasemas sisemises versioonis ja suunatud käsu all, näitab see, mil määral süsteem suudab keerukates stsenaariumides minimaalse järelevalvega töötada.
Vaatamata neile meeleavaldustele nõuavad analüütikud selgitust, et Me ei tegele "teadliku" tehisintellektiga ega sellisega, millel on oma tahe.Müüt ei otsusta süsteeme ise rünnata; see täidab talle antud ülesandeid nii tõhusalt kui võimalik. Risk ei seisne selles, et mudel mässab, vaid selles, et keegi kasutab seda – või sunnib seda keerukate juhiste abil – kahjulike toimingute tegemiseks.
Projekt Glasswing: müüt kaitse teenistuses… väheste väljavalitute jaoks
Selle asemel, et avalikkusele ligipääsu avada, on Anthropic otsustanud Mythose ümbritseda kindla programmiga, Projekt GlasswingAlgatus, mis on loodud selleks, et kasutada mudeli võimekust kontrollitud viisil kriitilise tarkvara kaitsmiseks, hõlmab süsteemi pakkumist rangete kasutustingimuste alusel valitud rühmale suurtele tehnoloogiaettevõtetele, taristupakkujatele ja finantsasutustele.
Juurdepääsuga organisatsioonide hulgas on sellised hiiglased nagu Amazon Web Services, Apple, Microsoft, Google CloudNvidia või Broadcomsamuti küberturbeettevõtted nagu CrowdStrike, kelle enda vigane tarkvara põhjustas 2024. aastal suure ülemaailmse segaduse. Nendega on liitunud maailmakuulsad pangad, sealhulgas JP Morgan Chase ja mitu suurt Wall Streeti gruppi, samuti teised organisatsioonid, kes vastutavad tundlike IT-infrastruktuuride hooldamise eest.
Anthropopic on samuti teatanud laenud väärtusega 100 miljonit dollarit See rahastus võimaldab neil organisatsioonidel kasutada Mythost haavatavuste analüüsiks koos annetustega vaba tarkvara sihtasutustele, nagu Linux Foundation ja Apache Software Foundation. Ametlik eesmärk on selge: võimaldada maailma kõige kriitilisema tarkvara haldajatel tuvastada ja parandada vigu enne, kui sellised tööriistad potentsiaalsetele ründajatele kättesaadavaks muutuvad.
See strateegia tekitab sektoris siiski teatavat ebamugavust. Ühelt poolt tugevdab see ideed, et tehnoloogia on piisavalt ohtlik, et nõuda juurdepääsu piiramist. Teiselt poolt See loob lõhe nende vahele, kes saavad kasu Müütose "kilbist", ja nende vahele, kes jäävad ilma.Ettevõtted ja administratsioonid, mis ei ole osa Glasswingist, riskivad hiljem silmitsi seista haavatavustega, mis tuvastati ja parandati privilegeeritud keskkondades, kuid mis on endiselt olemas nende endi süsteemides.
Euroopas teeb see asümmeetria erilist muret kriitilise infrastruktuuri eest vastutavatele isikutele ja suurte tööstus- ja finantskontsernide turvameeskondadele, kes jälgivad tähelepanelikult, kas Brüssel ja Euroopa pealinnad tagavad, et sarnased programmid kaasaksid mandri võtmeisikuid võrdsetel tingimustel. ja pilvesuveräänsus USA partneritega.
Valitsuste, regulaatorite ja finantssektori reaktsioon
Mythose mõju ei piirdu ainult tehnilise valdkonnaga. Vaid mõne päevaga vallandas mudeli väljakuulutamine kõrgetasemelised kohtumised Ameerika Ühendriikides ja EuroopasUSA rahandusminister kutsus riigi suuremate pankade juhid Washingtoni, et hinnata riske, mida süsteem võib finantsstabiilsusele kujutada, ning nendel kõnelustel osales ka Föderaalreservi esimees.
Rahvusvahelise meedia lekete kohaselt õhutati neid üksusi väidetavalt Testi Müütost kaitserežiimiskasutades seda oma infrastruktuuri nõrkuste skannimiseks enne, kui teised seda teha saavad. Kaudne sõnum on, et oht on piisavalt tõsine, et õigustada avaliku ja erasektori koordineeritud reageerimist.
Samal ajal on Anthropici kaasasutaja kinnitanud, et ettevõte peab otsekõnelusi Ameerika Ühendriikide valitsusega Müütose ja tulevaste mudelite kohta. Need arutelud toimuvad pingelises kontekstis pärast seda, kui USA võimud lisasid ettevõtte hiljuti keelatud ainete nimekirja. tarneahela riskid, pärast hõõrdumist, mis oli seotud nende mudelite kasutamisega Kaitseministeeriumi poolt.
Teisel pool Atlandi ookeani on Euroopa Liit seda märganud. Euroopa Komisjon on avalikult toetanud järkjärgulist ja ettevaatlikku lähenemist sellistele mudelitele nagu Mythos ning Ühendkuningriigi ja mandri finantsregulaatorid on hakanud selle võimalikke tagajärgi spetsiaalselt uurima. panganduse ja turgude jaoks. Ühendkuningriigi valitsuse tehisintellekti turbeinstituut (AISI) on kirjeldanud süsteemi kui olulist edasiminekut küberohtude osas võrreldes eelmiste põlvkondadega.
Hispaanias on avalik arutelu veel piiratud, kuid pankade ja suurte energiaettevõtete järelevalveasutused ja küberturvalisuse meeskonnad jälgivad neid arenguid tähelepanelikult. Euroopa finantssektori jaoks tekitab tõsist muret igasugune edusamm, mis võiks hõlbustada koordineeritud rünnakuid maksesüsteemide, pankadevaheliste võrkude või kauplemisplatvormide vastu.
Skeptitsism, kahtlused ja arutelu müüti ümbritseva "hüpe" üle
Anthropicu aruanne, mis ühendab turvahoiatusi suurepäraste jõudlusnäitajatega, pole jäänud kriitikata. Mitmed tehisintellekti ja küberturvalisuse eksperdid on nõudnud ettevaatust ettevõtte avalduste tõlgendamiselmärkides, et suur osa olemasolevatest andmetest pärineb ainult sisemistest aruannetest.
Mõned analüütikud on Anthropicu avaldatud ulatuslikku dokumentatsiooni üksikasjalikult läbi vaadanud ja osutavad, et arv „tuhandete kõrge tõsidusega haavatavuste” põhjal on tehtud järeldus suhteliselt väikesest arvust käsitsi läbi vaadatud juhtumitest. Teatud testides leidis Mythos väidetavalt märkimisväärse hulga kriitilisi vigu, kuid kaugel peaaegu apokalüptilisest stsenaariumist, mida mõned pealkirjad vihjavad.
Teised sõltumatud uuringud on püüdnud võrrelda Mythose jõudlust väiksemate avatud lähtekoodiga mudelitega, edastades haavatavaid koodilõike erinevatele tehisintellektidele, et näha, kas nad suudavad tuvastada samu vigu. Tulemused näitavad, et Mõned avatud mudelid on võimelised tuvastama ka keerulisi haavatavusi.See seab kahtluse alla idee, et Mythos mängib kõigis stsenaariumides täiesti erinevas liigas.
Sellised vastunäited ei eita Müütose võimekust, kuid viitavad sellele, et Osal "liiga ohtlik avaldamiseks" diskursusel on ka turunduslik mõõde.Mudeli esitlemine nii erakordselt võimsa kui ka potentsiaalse riskina tugevdab tehnoloogilise juhtpositsiooni ja vastutuse kuvandit, mis on üha konkurentsitihedamal turul väga väärtuslik.
Tööstuse hiljutine ajalugu meenutab ka GPT-2 pretsedenti 2019. aastal, kui OpenAI otsustas algselt mitte avaldada täielikku mudelit, väites, et see on liiga ohtlik oma potentsiaali tõttu genereerida desinformatsiooni. Lõpuks avaldati see versioon avalikkusele ilma, et ükski ennustatud katastroof oleks teoks saanud, ja paljud eksperdid tõid seda ülereageerimise näitena. Müüdiga, Erinevus seisneb selles, et fookuses ei ole enam tekst, vaid digitaalse infrastruktuuri terviklikkus., mis on valitsuste ja pankade jaoks palju tundlikum valdkond.
Õrn tasakaal turvalisuse, äri ja tehnoloogiale juurdepääsu vahel
Lisaks meediakärale tõstatab Müüdiga seotud olukord põhimõttelise küsimuse: Kes otsustab, millal on tehisintellekti mudel avaldamiseks liiga ohtlik? Ja milliste kriteeriumide alusel? Praegu on otsus olnud Anthropicu ühepoolne ning nad on otsustanud hoida süsteemi omamoodi kontrollitud karantiinis, reserveerides selle valitud partneritele.
See seisukoht ei põhine ainult turvakaalutlustel. Müütose omadustega mudeli käitamine on arvutikasutuse mõttes väga kallisja ettevõte ise tunnistab, et tal praegu seda ei ole vajalik infrastruktuur et seda miljonitele kasutajatele massiliselt pakkuda. Praktikas käivad turvameetmed ja tehnilised piirangud käsikäes, andes Anthropicule aega nii mudeli kui ka selle juurutamise täiustamiseks.
Samal ajal on ettevõte hakanud oma erinevaid tooteid selgelt eristama. Kuigi Mythos jääb samaks kõige arenenum sisemine standardKuigi need on reserveeritud uurimistöö ja strateegilise koostöö kontekstidele, on teised mudelid, näiteks Claude Opus 4.7, suunatud ettevõtete ja spetsialistide igapäevaseks kasutamiseks. Anthropic on isegi avalikult tunnistanud, et Opus 4.7 on üldiselt ja eriti kübervõimekuste osas Mythosest „vähem võimekas“ – mis on ebatavaline tööstusharus, kus iga uut mudelit esitletakse tavaliselt parimana igas mõttes.
Selles skeemis toimib Müütos järgmiselt järgmise põlvkonna võimete katseplatvormKuigi kaubanduslikult saadaval olevad mudelid sisaldavad vaid osa neist võimalustest koos täiendavate piirangutega, mis on loodud riskide vähendamiseks, võib see „eksperimentaalsete” ja „tootmismudelite” eraldamine olla mõistlik lähenemisviis paljudele Euroopa organisatsioonidele, kes on huvitatud tehisintellekti kasutamisest ilma selle kasutamise esirinnas olemata, eeldusel, et iga süsteemi tegelike võimaluste osas on piisavalt läbipaistvust.
Lõppkokkuvõttes on tekkimas stsenaarium, kus Küberturvalisus on täielikult sisenemas suuremahulise ründava ja kaitsva tehisintellekti ajastusseSellised tööriistad nagu Mythos lubavad kiirendada aastaid töötavate süsteemide haavatavuste tuvastamist, kuid need sunnivad ka ümber mõtlema, kuidas digitaalmajanduse aluseks olevat tehnoloogiat levitatakse ja hallatakse. Euroopa ja Hispaania jaoks ei ole väljakutse mitte ainult enda kaitsmine üha võimsamate mudelite eest, vaid ka selle tagamine, et nad ei jääks ilma mehhanismidest, mis võimaldavad neil oma turvalisuse tugevdamiseks kasutada.
