Слишком опасно для публичного релиза: с этим необычным описанием компания Anthropic, занимающаяся разработкой искусственного интеллекта, 7 апреля анонсировала свою новую флагманскую модель, Claude Mythos Preview. По словам компании, система способна самостоятельно обнаруживать уязвимости в ИТ-системах — в масштабах, ранее считавшихся почти невообразимыми.
Вместо того чтобы сделать Mythos Preview общедоступной, Anthropic создал консорциум «Project Glasswing». Известные компании из технологической и финансовой отраслей получат доступ к предварительной версии новой модели.
В консорциум входят Amazon, Apple, Google и Microsoft, производители маршрутизаторов Broadcom и Cisco, а также компании-специалисты по ИТ-безопасности Crowdstrike и Palo Alto Networks, кроме того, такие организации, как Linux Foundation, занимающиеся поддержкой широко используемого программного обеспечения.
Mythos уже выявил тысячи критических уязвимостей, некоторые из которых были обнаружены в широко распространенных операционных системах и браузерах, сообщила компания Anthropic в своем корпоративном блоге. Партнеры могут использовать модель в оборонительных целях. Цель состоит в том, чтобы дать «добросовестным игрокам» преимущество в обеспечении безопасности программного обеспечения и инфраструктуры, сказал главный научный сотрудник Джаред Каплан в интервью «New York Times».
Anthropic выпускает Mythos Preview в важный с экономической точки зрения момент. Компания достигла прогнозируемого годового оборота — на профессиональном жаргоне «Run Rate» — в 30 миллиардов долларов. Согласно сообщениям СМИ, уже в этом году может состояться первичное размещение акций на бирже. Инициатива в области безопасности, реализуемая совместно с известными партнерами, должна укрепить динамику роста компании.
Уязвимости в системе безопасности обнаружены за ночь.
Как и другие крупные языковые модели, Mythos Preview обрабатывает такие данные, как текст, изображения и программный код. По сравнению с предыдущими поколениями технологий система, как утверждается, добилась значительного прогресса, прежде всего в области разработки программного обеспечения — основного направления деятельности Anthropic.
Новые возможности по обнаружению уязвимостей не были целью обучения, заявил основатель и руководитель компании Дарио Амодеи: Anthropic обучал новую модель для работы с кодом. «Но в качестве побочного эффекта она также хорошо справляется с кибербезопасностью».
В качестве тестового случая Anthropic использовал уязвимости в браузере Firefox, которые уже были выявлены и устранены с помощью обновлений. Mythos Preview должен был выявить эти уязвимости и самостоятельно создать инструменты для атак. Это удалось 181 раз. Предыдущая топовая модель Opus 4.6 справилась с этой задачей лишь в двух попытках
Как отмечает Anthropic, для этого не требуется даже специальных знаний: разработчики, не специализирующиеся в области ИТ-безопасности, получили от Mythos Preview задание за одну ночь найти уязвимости, с помощью которых злоумышленники могут удаленно захватить чужие системы. По данным компании, на следующее утро у них на экране уже была работающая программа для атаки.
Пока что эти данные невозможно проверить независимо. Однако участие известных партнеров позволяет предположить, что Anthropic не преувеличивает. Например, Cisco, по собственным заявлениям, уже протестировал эту модель. Результат оказался «поучительным», сообщает компания, — «настоящая работа только начинается».
Всего несколько минут до обнаружения.
Некоторые из задокументированных Anthropic случаев конкретно демонстрируют, как работает Mythos Preview. Так, модель обнаружила 27-летнюю уязвимость в Open BSD — эта операционная система предъявляет особенно высокие требования к безопасности и используется в брандмауэрах и критически важной инфраструктуре. Злоумышленник мог бы с помощью нее вывести из строя уязвимые системы, просто отправив запрос на соединение. Аналогичные находки были сделаны в распространенных операционных системах и браузерах.
То, что такие возможности меняют правила игры, уже подтверждается на практике. Исследователи в области безопасности из одного стартапа использовали платформу искусственного интеллекта, чтобы выявить уязвимости в информационной платформе McKinsey и получить полный доступ на чтение и запись — всего за несколько часов.
«Время между обнаружением уязвимости и ее использованием злоумышленником сократилось до минимума», — сказал Элия Зайцев, технический директор Crowdstrike. «То, что раньше занимало месяцы, теперь с помощью ИИ происходит за считанные минуты».
По данным Anthropic, более 99 процентов уязвимостей, выявленных Mythos Preview, до сих пор не устранены. И это может занять время: компаниям и проектам нужно время, чтобы понять суть проблем и их устранить.
На этом дело не закончится, подчеркнул Амодей: «Появятся более мощные модели, разработанные нами и другими. Поэтому нам нужен план, чтобы на это отреагировать». Обеспечение безопасности цифровой инфраструктуры займет месяцы и годы и потребует широкого сотрудничества поставщиков ИИ, специалистов по ИТ-безопасности, производителей программного обеспечения и правительств.
«Project Glasswing» призван способствовать обеспечению защиты. На пилотном этапе Anthropic предоставляет партнерам до 100 миллионов долларов в виде кредитов на использование Mythos Preview. Дополнительные средства направляются на проекты с открытым исходным кодом, которые разрабатывают и поддерживают общедоступное программное обеспечение.
Британский технологический портал «The Register» прокомментировал это объявление в своей привычной язвительной манере: «Если это звучит так, будто поджигатель раздает огнетушители, — то это ваша вина, если вы настолько циничны».
Несмотря на все предупреждения общественности, от повышенного внимания к информационной безопасности, вероятно, выиграет и сама Anthropic. Информация о Mythos недавно непреднамеренно стала достоянием общественности, поскольку внутренние документы хранились в базе данных без защиты. Вскоре после этого стартап случайно опубликовал обширные объемы исходного кода. Руководство сослалось на человеческий фактор.
Добавить комментарий