Ο Υπουργός Οικονομικών των ΗΠΑ Σκοτ Μπέσεντ και ο Πρόεδρος της Ομοσπονδιακής Τράπεζας των ΗΠΑ (Fed) Τζερόμ Πάουελ κάλεσαν τους ηγέτες της Wall Street για να τους απευθύνουν μια επείγουσα προειδοποίηση: ένα εργαλείο τεχνητής νοημοσύνης από την Anthropic PBC σηματοδοτεί την αρχή μιας νέας εποχής στην κυβερνοασφάλεια.
Η συνάντηση της 7ης Απριλίου στην Ουάσινγκτον επικεντρώθηκε στο Mythos, ένα νέο μοντέλο τεχνητής νοημοσύνης που η Anthropic υποστηρίζει ότι είναι τόσο ικανό στον εντοπισμό τρωτών σημείων σε λογισμικό και συστήματα υπολογιστών, ώστε μπορεί να κυκλοφορήσει μόνο σε περιορισμένο αριθμό προσεκτικά επιλεγμένων μερών. Αν εργαλεία όπως το Mythos πέσουν σε λάθος χέρια, λέει η Anthropic, θα μπορούσαν να προσφέρουν στους επιτιθέμενους ένα ισχυρό νέο όπλο για την κλοπή δεδομένων ή τη διακοπή λειτουργίας κρίσιμων υποδομών.
Εδώ και αρκετά χρόνια, οι εταιρείες κυβερνοασφάλειας υπόσχονται ότι η τεχνητή νοημοσύνη θα επιταχύνει και θα αυτοματοποιήσει μέρος των εργασιών πρόληψης ψηφιακών παραβιάσεων. Αλλά και οι χάκερ και οι κυβερνοκατάσκοποι έχουν ανακαλύψει τα πλεονεκτήματα της τεχνητής νοημοσύνης. Η έλευση του Mythos και μοντέλων παρόμοιων με αυτό, που μπορούν να εκμεταλλευτούν καλά κρυμμένα σφάλματα σε δημοφιλές λογισμικό χωρίς ανθρώπινη επίβλεψη, υποδηλώνει μια ταχύτερα εξελισσόμενη και λιγότερο προβλέψιμη φάση της κούρσας των εξοπλισμών στον κυβερνοχώρο.
Τι είναι το Mythos;
Το Claude Mythos Preview είναι ένα μοντέλο τεχνητής νοημοσύνης γενικής χρήσης που η Anthropic ισχυρίζεται ότι υπερέχει σημαντικά από προηγούμενες προσφορές σε μια σειρά δοκιμών αξιολόγησης (benchmarks), συμπεριλαμβανομένου του προγραμματισμού και του συλλογισμού. Η εταιρεία λέει ότι είναι τόσο ισχυρό που αποφάσισε να μην το διαθέσει στο κοινό. Εξήγησε ότι ορισμένα μοντέλα τεχνητής νοημοσύνης έχουν φτάσει σε ένα επίπεδο ικανότητας προγραμματισμού που τους επιτρέπει να κερδίζουν όλους εκτός από τους πιο εξειδικευμένους ανθρώπους στην εύρεση και εκμετάλλευση τρωτών σημείων λογισμικού.
Σύμφωνα με την Anthropic, το Mythos Preview έχει ήδη βρει χιλιάδες τρωτά σημεία «zero-day» κατά τη διάρκεια των δοκιμών, συμπεριλαμβανομένων όλων των μεγάλων λειτουργικών συστημάτων και όλων των μεγάλων προγραμμάτων περιήγησης (browsers). Τα «Zero-days» είναι σφάλματα που ήταν προηγουμένως άγνωστα στους προγραμματιστές του λογισμικού — το όνομα υποδηλώνει ότι έχουν μηδέν ημέρες για να βρουν μια ενημέρωση κώδικα (patch) για την επίλυση του προβλήματος. Αυτά συχνά αντιπροσωπεύουν ένα χρυσωρυχείο για τους χάκερ, επειδή προσφέρουν ένα παράθυρο ελεύθερης δράσης μέσα σε ευάλωτα συστήματα.
Το Mythos ήταν σε θέση να τα εντοπίσει με ακόμη λιγότερη ανθρώπινη παρέμβαση από ό,τι τα προηγούμενα μοντέλα, δήλωσε η Anthropic. «Το Mythos Preview επιδεικνύει ένα άλμα σε αυτές τις κυβερνο-δεξιότητες — τα τρωτά σημεία που έχει εντοπίσει έχουν σε ορισμένες περιπτώσεις επιβιώσει επί δεκαετίες από ανθρώπινο έλεγχο και εκατομμύρια αυτοματοποιημένες δοκιμές ασφαλείας», ανέφερε η εταιρεία. Στα χέρια μιας συμμορίας ransomware ή εχθρικών κυβερνήσεων, ένα τέτοιο εργαλείο θα μπορούσε να οδηγήσει σε πιο καταστροφικές και συχνές κυβερνοεπιθέσεις.
Οι ερευνητές λένε ότι δεν τους έχει δοθεί πρόσβαση για να επαληθεύσουν ανεξάρτητα τους ισχυρισμούς της Anthropic σχετικά με την απόδοση του Mythos. Ο Gang Wang, αναπληρωτής καθηγητής επιστήμης υπολογιστών στο Πανεπιστήμιο του Ιλινόις, δήλωσε ότι είναι δύσκολο να αξιολογηθεί η σημασία του Mythos Preview χωρίς περισσότερες πρακτικές δοκιμές.
Ποιος θα έχει πρόσβαση σε αυτό;
Η Anthropic ονομάζει το σχέδιό της για την παροχή πρόσβασης σε μια περιορισμένη ομάδα ελεγμένων συνεργατών «Project Glasswing», από ένα είδος πεταλούδας με διαφανή φτερά που της επιτρέπουν να κρύβεται σε κοινή θέα. Στους συμμετέχοντες περιλαμβάνονται οι Amazon.com Inc, Apple Inc, Google της Alphabet Inc., Microsoft Corp, Nvidia Corp, Palo Alto Networks Inc, CrowdStrike Holdings Inc, Broadcom Inc, Cisco Systems Inc, JPMorgan Chase και το Linux Foundation, ένας μη κερδοσκοπικός οργανισμός που υποστηρίζει έργα λογισμικού ανοικτού κώδικα. Η Anthropic περιέγραψε το έργο ως μια «επείγουσα προσπάθεια να τεθούν αυτές οι δυνατότητες στην υπηρεσία αμυντικών σκοπών».
Αυτοί οι οργανισμοί θα χρησιμοποιήσουν το Mythos ως μέρος της αμυντικής τους εργασίας στον τομέα της ασφάλειας, και η Anthropic σχεδιάζει να μοιραστεί τα ευρήματα του έργου έτσι ώστε να επωφεληθούν και άλλοι. Πολλές εταιρείες χρησιμοποιούν ήδη τις λεγόμενες ασκήσεις διείσδυσης (penetration tests), στις οποίες προσλαμβάνουν ειδικούς για να εξετάσουν τα συστήματά τους για σφάλματα, ώστε να μπορούν να τα διορθώσουν πριν εισβάλουν οι χάκερ. Το Mythos θα μπορούσε να επιτρέψει στις εταιρείες να επιταχύνουν αυτή τη διαδικασία, επιτρέποντάς τους να βρίσκουν περισσότερα σφάλματα πιο γρήγορα και να περιορίζουν τις ευκαιρίες για πιθανές επιθέσεις.
«Σημείο καμπής»;
Η Anthropic περιέγραψε το Mythos Preview ως «ένα σημείο καμπής για την ασφάλεια». Λόγω της φύσης τους, οι ευπάθειες zero-day είναι δύσκολο να εντοπιστούν, και μια μικρή και σκοτεινή βιομηχανία έχει χτιστεί γύρω από την εύρεση και την πώλησή τους σε κυβερνητικές υπηρεσίες πληροφοριών, συχνά για εκατομμύρια δολάρια. Σύμφωνα με την Anthropic, οι ευπάθειες που βρήκε το Mythos Preview ήταν συχνά «ανεπαίσθητες και δύσκολο να εντοπιστούν» και περιλάμβαναν ένα σφάλμα 27 ετών στο OpenBSD, ένα λειτουργικό σύστημα που η Anthropic λέει ότι έχει τη φήμη ενός από τα πιο θωρακισμένα ως προς την ασφάλεια στον κόσμο.
Το Mythos ήταν επίσης φαινομενικά σε θέση να μετατρέψει ευπάθειες που είναι γνωστές αλλά όχι ευρέως διορθωμένες σε «exploits» που οι χάκερ θα μπορούσαν να χρησιμοποιήσουν για να διεισδύσουν σε δίκτυα υπολογιστών. Για παράδειγμα, βρήκε και συνέδεσε μεταξύ τους αρκετά σφάλματα στον πυρήνα του Linux — την καρδιά του λειτουργικού συστήματος και του λογισμικού που τρέχει τους περισσότερους διακομιστές διαδικτύου στον κόσμο — ώστε να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει τον πλήρη έλεγχο του μηχανήματος. Άτομα χωρίς ειδικές γνώσεις ζήτησαν επίσης από το Mythos Preview να βρει τρόπους για να αποκτήσουν εξ αποστάσεως τον έλεγχο υπολογιστών κατά τη διάρκεια της νύχτας και επέστρεψαν το επόμενο πρωί βρίσκοντας ένα πλήρες, λειτουργικό exploit, ανέφερε η Anthropic.
Το Mythos είναι ένα από πολλά νέα εργαλεία τεχνητής νοημοσύνης ικανά να βρίσκουν zero-days ή να κατασκευάζουν exploits. Το Codex Security της OpenAI και ο «Big Sleep agent» της Google έχουν αναπτυχθεί για τον εντοπισμό ευπαθειών. Η OpenAI ολοκληρώνει επίσης ένα προϊόν με προηγμένες δυνατότητες κυβερνοασφάλειας το οποίο σκοπεύει να διαθέσει σε επιλεγμένους συνεργάτες, ανέφερε το Axios. Στο μεταξύ, ερευνητές σε μια ισραηλινή startup κυβερνοασφάλειας με την ονομασία Buzz, λένε ότι έχουν κατασκευάσει ένα αυτόνομο εργαλείο που συνδυάζει πέντε πράκτορες AI, το οποίο έχει ποσοστό επιτυχίας 98% στην εκμετάλλευση γνωστών σφαλμάτων.
Ποια μέτρα προστασίας υπάρχουν;
Τα μέτρα προστασίας είναι ένα έργο σε εξέλιξη, σύμφωνα με την Anthropic. «Το έχουμε δει να φτάνει σε πρωτοφανή επίπεδα αξιοπιστίας και ευθυγράμμισης (alignment)», έγραψε η Anthropic, εννοώντας ότι ευθυγραμμίζεται με αυτό που θέλουν οι άνθρωποι. «Ωστόσο, σε σπάνιες περιπτώσεις όπου αποτυγχάνει ή ενεργεί παράξενα, το έχουμε δει να προβαίνει σε ενέργειες που βρίσκουμε αρκετά ανησυχητικές».
Σε μία περίπτωση, ένας ερευνητής παρότρυνε μια πρώιμη έκδοση του Mythos να προσπαθήσει να διαφύγει από έναν ασφαλή, απομονωμένο υπολογιστή «sandbox» και στη συνέχεια να βρει έναν τρόπο να στείλει ένα μήνυμα σε αυτό το άτομο. Το εργαλείο πέτυχε, αλλά στη συνέχεια συνέχισε να προβαίνει σε «πρόσθετες, πιο ανησυχητικές ενέργειες», αναπτύσσοντας ένα exploit πολλαπλών σταδίων για να αποκτήσει πρόσβαση στο διαδίκτυο.
Η Anthropic δήλωσε ότι δεν σκοπεύει να καταστήσει το Mythos Preview ευρέως διαθέσιμο, δεδομένης της πιθανότητας κατάχρηστής του. Παρόλα αυτά, η εταιρεία ελπίζει τελικά να επιτρέψει στους χρήστες να αναπτύξουν «μοντέλα κατηγορίας Mythos» σε κλίμακα για σκοπούς κυβερνοασφάλειας και άλλες χρήσεις. «Για να το κάνουμε αυτό, πρέπει να σημειώσουμε πρόοδο στην ανάπτυξη διασφαλίσεων κυβερνοασφάλειας (και άλλων) που θα εντοπίζουν και θα μπλοκάρουν τις πιο επικίνδυνες αποκρίσεις του μοντέλου», ανέφερε.
Για τα σφάλματα ύψιστης σοβαρότητας που βρίσκει το Mythos, εμπλέκονται άνθρωποι: Ειδικοί επικυρώνουν αυτές τις ανακαλύψεις πριν στείλουν τις πληροφορίες στα άτομα που συντηρούν τον κώδικα, σύμφωνα με την Anthropic. Είναι μια απαραίτητη αλλά χρονοβόρα διαδικασία, η οποία όμως μπορεί τελικά να εξαλειφθεί καθώς το μοντέλο βελτιώνεται, δήλωσε ο Wang του Πανεπιστημίου του Ιλινόις.
Δίνει το Mythos πλεονέκτημα στους αμυνόμενους της κυβερνοασφάλειας έναντι των χάκερ; Ίσως, αλλά μπορεί να πάρει λίγο χρόνο. Η διαδικασία της Anthropic για τη γνωστοποίηση σφαλμάτων στα άτομα που συντηρούν το λογισμικό ή τα συστήματα υπολογιστών μπορεί να είναι χρονοβόρα. Μέχρι στιγμής, λιγότερο από το 1% των πιθανών ευπαθειών που έχει αποκαλύψει το Mythos Preview έχει διορθωθεί πλήρως, ανέφερε η εταιρεία.
Την ίδια στιγμή, οι χάκερ χρησιμοποιούν την τεχνητή νοημοσύνη για να επιταχύνουν δραματικά το πόσο γρήγορα βρίσκουν και εκμεταλλεύονται ευπάθειες μόλις αυτές αποκαλυφθούν. (Οι προμηθευτές ενθαρρύνονται, και σε ορισμένες περιπτώσεις υποχρεούνται, να αποκαλύπτουν δημόσια τις ευπάθειες μόλις ανακαλυφθούν και, ιδανικά, να παρέχουν μια λύση). Αυτό δίνει στους επαγγελματίες του κυβερνοχώρου όλο και λιγότερο χρόνο για να διορθώσουν τα δίκτυά τους. Σε μια ανάρτηση ιστολογίου στις 30 Μαρτίου, ο Διευθύνων Σύμβουλος της Palo Alto Networks, Nikesh Arora, προειδοποίησε ότι το εμπόδιο για εξελιγμένες επιθέσεις θα συνεχίσει να μειώνεται κατά τους επόμενους έξι μήνες. «Ένας μόνο κακόβουλος παράγοντας θα μπορεί πλέον να εκτελεί εκστρατείες που απαιτούσαν ολόκληρες ομάδες», έγραψε.
Η Anthropic υποστηρίζει ότι το Mythos Preview και άλλα εργαλεία AI όπως αυτό θα ευνοήσουν τελικά τους αμυνόμενους. «Μακροπρόθεσμα, αναμένουμε ότι οι αμυντικές δυνατότητες θα κυριαρχήσουν: ότι ο κόσμος θα αναδυθεί πιο ασφαλής, με λογισμικό καλύτερα θωρακισμένο — σε μεγάλο βαθμό από κώδικα γραμμένο από αυτά τα μοντέλα», ανέφερε η Frontier Red Team της εταιρείας σε ιστολόγιο στις 7 Απριλίου. «Αλλά η μεταβατική περίοδος θα είναι γεμάτη κινδύνους».
Το ξέρουμε…
Το να βλέπετε αυτά τα μηνύματα μπορεί να είναι κουραστικό. Και να είστε σίγουροί ότι ούτε κι εμείς βρίσκουμε κάποια ευχαρίστηση από το να τα γράφουμε... Όμως αυτό το μήνυμα δεν αφορά εμάς. Αφορά κάτι πολύ πιο σημαντικό: την επιβίωση της ανεξάρτητης, μαχητικής δημοσιογραφίας στην Kρήτη.
Η στήριξη σας είναι σημαντική γιατί μας επιτρέπει να:
- - Κάνουμε ρεπορτάζ χωρίς φόβο και εξαρτήσεις. Κανείς δεν μας υπαγορεύει τι να πούμε ή τι να αποσιωπήσουμε.
- - Κρατάμε τη δημοσιογραφία μας προσβάσιμη σε όλους, ακόμη και σε αυτούς που δεν έχουν την ικανότητα να πληρώσουν. Χωρίς paywall, χωρίς προνόμια μόνο για όσους έχουν την οικονομική δυνατότητα.
Η απλή αλήθεια είναι ότι τα έσοδα διαρκώς συρρικνώνονται. Αν πιστεύετε ότι μια πραγματικά ελεύθερη ενημέρωση είναι ζωτικής σημασίας για τη δημοκρατία και τον έλεγχο της εξουσίας, τότε δώστε μας τη δύναμη να συνεχίσουμε.
Σας ευχαριστούμε θερμά.
