Um hacker mais Mythos equivalem a uma força especial: Bloomberg revela os bastidores da decisão de bloqueio da Anthropic

Notícias ME, 16 de abril (UTC+8), através de entrevistas nomeadas com investigadores de red team, executivos e funcionários do governo dos EUA, revela o processo completo de decisão desde a descoberta até o bloqueio. O investigador de segurança de IA Nicholas Carlini, participou de um casamento em Bali em fevereiro, enquanto testava Mythos, que acabara de abrir para revisão interna, e descobriu várias rotas de invasão em poucas horas, com alvos envolvendo infraestruturas amplamente utilizadas globalmente. Após retornar a São Francisco, ele descobriu que Mythos podia criar autonomamente ferramentas de invasão para Linux. O antigo chefe de red team Logan Graham afirmou: «Em poucas horas após obter o modelo, percebemos que era diferente.» A principal diferença é que, enquanto a geração anterior, Opus 4.6, auxiliava humanos a explorar vulnerabilidades, Mythos consegue completar todo o processo de exploração de forma independente. Graham alertou a gestão: «Isso representa um risco à segurança nacional.» O cofundador e diretor científico Jared Kaplan afirmou que, desde a fase de treinamento, ele monitorava Mythos «muito cuidadosamente» e, desde janeiro, percebeu o quão forte era a capacidade do modelo de descobrir vulnerabilidades, precisando avaliar se essas capacidades eram apenas uma novidade técnica ou algo «altamente relacionado à infraestrutura da internet», concluindo que era o último. De final de fevereiro a início de março, ele e o cofundador Sam McCandlish relataram à equipe de gestão, incluindo o CEO Dario Amodei e a presidente Daniela Amodei, recomendando não divulgar publicamente, mas permitir que empresas externas e até concorrentes testassem. Na primeira semana de março, a empresa aprovou oficialmente que Mythos fosse classificado como uma ferramenta de defesa cibernética. O relatório também revelou detalhes de novos testes. Em uma versão inicial, o modelo projetou um ataque de múltiplos passos, superando restrições do ambiente de execução para obter acesso à internet, e começou a publicar conteúdo online. Em testes com instruções, Mythos criou uma cadeia de ataque de navegador que explorava quatro vulnerabilidades, uma operação de alta complexidade até para hackers humanos. O JPMorgan Chase já utilizava grandes modelos para ajudar na busca por vulnerabilidades em seu próprio software antes do Mythos ser divulgado, focando na cadeia de suprimentos e componentes de código aberto. Fontes disseram que, anteriormente, descobrir e explorar vulnerabilidades zero-day levava dias ou semanas, mas agora pode ser feito em poucos minutos. O CEO Jamie Dimon afirmou na teleconferência de resultados que Mythos «mostra que há mais vulnerabilidades a serem corrigidas». O diretor de segurança e confiança da Cisco, Anthony Grieco, expressou preocupação de que atacantes possam usar IA para atacar dispositivos de rede terminais desatualizados, que não receberão patches de segurança. Uma fonte familiarizada com avaliações de defesa dos EUA afirmou que permitir que um hacker individual use Mythos ou ferramentas similares equivale a transformar um soldado comum em uma força especial; organizações criminosas podem alcançar o nível de agências de inteligência de países pequenos, enquanto países menores podem obter capacidades de ataque cibernético de grandes potências. O ex-diretor de segurança cibernética da NSA, Rob Joyce, disse: «Acredito que a IA nos tornará mais seguros no final, mas entre agora e lá, haverá um período sombrio, onde os atacantes terão vantagem absoluta, e organizações mal preparadas serão invadidas.» (Fonte: BlockBeats)