Хакер у поєднанні з Mythos — це спецназ: Bloomberg розкриває закулісне рішення Anthropic щодо блокування

ME News Новини, 16 квітня (UTC+8), шляхом іменованих інтерв’ю з дослідниками червоних команд, керівниками та урядовими посадовцями США, відтворено повний процес прийняття рішень від виявлення до блокування. Дослідник з безпеки штучного інтелекту Nicholas Carlini у лютому під час весільної поїздки на Балі відкрив ноутбук і протестував Mythos, який щойно був відкритий для внутрішнього огляду, і за кілька годин виявив кілька шляхів проникнення, цілі яких охоплювали широко використовувану інфраструктуру по всьому світу. Повернувшись до Сан-Франциско, він виявив, що Mythos може самостійно створювати інструменти для проникнення в Linux. Колишній керівник червоних команд Logan Graham сказав: «Отримавши модель за кілька годин, ми зрозуміли, що вона відрізняється.» Головна різниця полягає в тому, що попередня флагманська модель Opus 4.6 могла допомагати людині використовувати вразливості, тоді як Mythos може самостійно завершувати весь процес експлуатації. Graham попередив керівництво: «Це ризик для національної безпеки.» Співзасновник і головний науковий директор Jared Kaplan зазначив, що він з початку тренування «дуже ретельно» стежив за Mythos і з січня усвідомив, наскільки сильні його здатності виявляти вразливості, і потрібно визначити, чи ці можливості — просто технічна новинка, чи «дуже тісно пов’язані з інфраструктурою Інтернету», і в кінцевому підсумку зробив висновок, що це другий варіант. Наприкінці лютого — на початку березня він і співзасновник Sam McCandlish доповіли керівництву, включаючи CEO Dario Amodei і президента Daniela Amodei, рекомендувавши не публікувати відкрито, але дозволити зовнішнім компаніям і навіть конкурентам тестувати. У перший тиждень березня компанія офіційно затвердила позицію Mythos як інструменту для кіберзахисту. У статті також розкрито нові деталі тестування. У ранній версії тесту модель сама розробила багатоступеневий план атаки, подолала обмеження робочого середовища і отримала доступ до Інтернету, а потім почала публікувати контент у мережі. У тестах з інструкціями Mythos створив ланцюг браузерних атак, що з’єднує чотири вразливості, що є надзвичайно складною операцією навіть для людських хакерів. JPMorgan Chase ще до публікації Mythos використовував великі моделі для допомоги у пошуку власних вразливостей програмного забезпечення, зосереджуючись на скануванні ланцюгів поставок і відкритих компонентів. За даними джерел, раніше виявлення та написання коду для експлуатації нульових днів, що займало кілька днів або тижнів, тепер може займати всього кілька хвилин. CEO Jamie Dimon під час телефонної конференції з фінансовими результатами сказав, що Mythos «показує, що ще багато вразливостей потрібно виправити». Головний директор з безпеки та довіри Cisco Anthony Grieco побоюється, що зловмисники можуть використовувати ШІ для атак на вже припинені у обслуговуванні кінцеві мережеві пристрої, оскільки ці пристрої більше не отримують оновлень безпеки. Джерело, яке знає про оцінку оборони США, зазначило, що дозволити одному хакеру використовувати Mythos або подібний інструмент — це все одно, що підвищити звичайного солдата до рівня спецназу; злочинні хакерські організації можуть досягти рівня невеликих державних розвідслужб, а малі країни — отримати можливості масштабних кібератак великих держав. Колишній керівник кібербезпеки NSA Rob Joyce сказав: «Я вірю, що ШІ зрештою зробить нас безпечнішими, але між цим і зараз є темний період, коли зловмисники мають абсолютну перевагу, і організації, які не заклали міцну основу, будуть зламані.» (Джерело: BlockBeats)