Anthropic військовий рівень моделей безпеки Mythos зазнав несанкціонованого доступу: як їм це вдалося?

Блумберг повідомляє: приватна група у форумі, ймовірно, публічно оголосила в робочий день, що обмеження нібито було прорвано завдяки безпековій моделі Mythos, яка перебуває під егідою компанії Anthropic. За допомогою доступу, наданого через стороннього підрядника, їм вдалося увійти в систему для використання цієї моделі, що викликало занепокоєння щодо безпекового управління топовими AI-моделями.

(Anthropic запускає глобальну програму кібербезпеки Glasswing, чому нова модель Mythos не доступна широкій аудиторії? )

Першого ж дня після запуску Mythos зіткнувся з несанкціонованим доступом

7 квітня Anthropic оголосила про нову мережеву безпекову AI-модель Claude Mythos, однак приватна онлайн-група форуму, особу якої досі не розкрито, за повідомленнями, тихо отримала доступ до цієї моделі.

За даними, ці люди не вдавалися до традиційних методів злому, а скористалися тим, що їм було відомо формат URL попередніх моделей Anthropic, і, за обґрунтованими припущеннями, визначили онлайн-розташування Mythos у системі. Ключовою прогалиною стала одна особа, що працює в Anthropic як співробітник стороннього підрядника. Він уже мав законну авторизацію на перегляд AI-моделей Anthropic, а учасники групи проникли в систему через цей відповідний, комплаєнсний вхід.

Згодом ця група надала Bloomberg скріншоти та демонстрацію дій у реальному часі як доказ, а також повідомила, що вони продовжують використовувати Mythos донині, але підкреслила, що їхня мета зводиться лише до «випробування нової моделі» і вони не планують здійснювати будь-які деструктивні дії, бо не хочуть бути викритими.

Що таке Mythos? Чому це викликає занепокоєння?

Claude Mythos — це AI-модель, яку Anthropic створила спеціально для оборони корпоративної мережевої безпеки; командою її визначено як інструмент «надто потужний, щоб його було доречно публічно випускати». Її ключова можливість полягає в активному виявленні вразливостей безпеки в цифрових системах, допомагаючи компаніям завершувати усунення ще до того, як вони зазнають атак.

Втім, цей «меч оборони» може бути й «двосічним». Anthropic відверто зазначає, що якщо Mythos потрапить у руки зловмисників, його здібності також можуть бути використані для здійснення атак. Тому компанія через програму з назвою «Project Glasswing» відкриває Mythos лише для невеликої кількості великих організацій або технологічних компаній після ретельного відбору та перевірок.

Ключова передумова цієї закритої системи контролю така: надійні партнерські сторони здатні гарантувати, що їхні взаємні доступи не витікатимуть.

(Anthropic висловлює занепокоєння через контроль і нагляд, керівники Бесент і Пауелл скликають термінову нараду з банківськими лідерами)

Відповідь Anthropic: триває розслідування, на компанію це не вплинуло

Anthropic заявила таке: «Ми розслідуємо повідомлення про стверджуваний несанкціонований доступ до Claude Mythos Preview через середовище стороннього постачальника». Компанія наголошує, що наразі не виявлено, аби власні системи зазнали впливу, а на початковому етапі цей інцидент «найімовірніше пов’язаний із зловживанням повноваженнями доступу, а не із зовнішньою атакою хакерів».

Навіть якщо користувачі, які отримали ранній доступ до Mythos, не вчиняли зловмисних дій, сам інцидент усе одно змушує фахівців з кібербезпеки бути вкрай насторожі. Генеральний директор компанії з кібербезпеки Smarttech247 Ралука Сасеану зазначає:

Коли інструменти потужного AI потрапляють на доступ або використання поза межі встановлених механізмів контролю, ризик — це не лише один кібербезпековий інцидент; це, скоріше за все, також породжує сумніви щодо шахрайства, кіберзловживань або інших зловмисних сценаріїв використання.

Який вплив це матиме? Слабкі місця в контролі безпеки AI

По-справжньому тривожним у цій історії є не те, що хтось намагався щось зруйнувати, а те, що вона виявила системну вразливість: коли AI-компанія передає доступ до високочутливих моделей третім стороннім постачальникам, будь-яка прогалина в будь-якій ланці всієї мережі контролю може стати точкою прориву й спричинити кризу.

Тепер інцидент із Mythos нагадує всій індустрії: за умов швидкого прогресу можливостей AI дизайн безпекової архітектури не може спиратися лише на довіру — потрібна інституційна стійкість, здатна витримати відмову довіри. Для Anthropic відбудова довіри з боку зовнішніх партнерів до її механізмів контролю партнерств стане питанням, яке триватиме довше, ніж саме розслідування.

Ця стаття «Озброєна рівнем зброї кібербезпекова модель Anthropic Mythos зазнала несанкціонованого доступу: як їм це вдалося?» уперше з’явилася на сайті «链新闻 ABMedia».