Mythos-AI: Ude, farlig – og så alligevel ikke?
Når man følger med i nyhedsstrømmen om cybersikkerhed og AI, er det svært ikke at blive godt rundtosset. Det ene øjeblik er en ny hypet AI for farlig til at blive sluppet løs. Så er den alligevel ude, fordi en leverandør ikke kunne holde fingrene fra sig selv. Og så er den alligevel ikke så farlig. Det fremgår af en artikel fra The Register.
Forløbet passer bemærkelsesværdigt godt på Anthropics Mythos-model, som i løbet af få uger er gået fra at være omtalt som en potentielt verdensfarlig “zero-day-maskine” til – ifølge flere kilder – at ligne et effektivt, men relativt jordnært værktøj.
Fortællingen om den for farlige AI
Udgangspunktet var dramatisk. Anthropic har selv beskrevet Mythos som så avanceret til at finde sårbarheder, at virksomheden ikke turde frigive modellen offentligt. I stedet blev den lanceret som en lukket preview under Project Glasswing, hvor udvalgte organisationer fik adgang til at finde og lukke sårbarheder, før kriminelle aktører kunne gøre det samme.
Den fortælling – kombineret med Anthropics markedsføring – skabte et billede af Mythos som noget nær et autonomt cybervåben. Netop derfor vakte det opsigt, da det kom frem, at modellen alligevel havde været tilgængelig for personer uden for Glasswing-samarbejdet. Det var den vinkel, vi skrev om i går på cert.dk.
The Register: Adgangen var reel – men ikke dramatisk
I sin dækning går The Register et skridt videre og ser på, hvad der faktisk skete – og hvad Mythos reelt kan. Ifølge mediet bekræftede Anthropic onsdag, at nogle ikke-autoriserede brugere havde haft adgang til Mythos, men ikke via Anthropics produktions-API. Adgangen skete gennem et tredjepartsleverandørmiljø, som Anthropic bruger i forbindelse med modeludvikling.
Anthropic ønskede ikke at oplyse, hvilken leverandør der er tale om, men understregede over for The Register, at der ikke er tegn på, at adgangen har påvirket virksomhedens egne systemer eller bredt sig ud over leverandørens miljø.
The Register henviser til Bloomberg, som først beskrev hændelsen: En lille gruppe personer gættede sig frem til modellens placering baseret på kendskab til Anthropics URL-strukturer fra tidligere modeller. Ifølge Bloomberg spillede oplysninger fra et nyligt databrud hos AI-staffingvirksomheden Mercor en rolle. Mercor leverer konsulenter til flere store AI-labs, herunder Anthropic, og har selv oplyst, at virksomheden var blandt de mange, der blev ramt af LiteLLM-forsyningskædeangrebet.
Ikke et hack – men et gæt
Et centralt punkt i The Registers artikel er, at adgangen ikke krævede et avanceret angreb. Ram Varadarajan, CEO i deception-virksomheden Acalvio, siger til mediet, at hændelsen hverken krævede exploit-kæder eller sofistikeret indtrængen: “Det krævede en contractor, et URL-mønster og et kvalificeret gæt.”
Det er ifølge The Register et klassisk eksempel på insider- og forsyningskæderisici snarere end et teknisk gennembrud. Samtidig peger flere kilder på, at Anthropics egen kommunikation om Mythos kan have fungeret som en indirekte invitation. Tim Mackey fra Black Duck beskriver over for The Register markedsføringen som noget, der minder om en capture-the-flag-udfordring, hvor det næsten bliver en præstation i sig selv at påvise uautoriseret adgang.
Skærer man hypen fra, hvad er Mythos så?
Det mest opsigtsvækkende i The Registers gennemgang er dog vurderingen af Mythos’ faktiske kapaciteter. Tidlige erfaringer fra preview-brugere som AWS og Mozilla peger på, at modellen er hurtig og effektiv – men ikke banebrydende på en måde, der ændrer spillereglerne.
Mozilla CTO Bobby Holley fortæller, at Mythos fandt 271 sårbarheder i Firefox 150. Ifølge Holley var der dog ingen af disse, som ikke også kunne være fundet af meget dygtige menneskelige sikkerhedsforskere. Mythos reducerer mængden af manuelt arbejde og kræver mindre løbende styring, men den overgår ikke mennesker på kvalitet eller kompleksitet.
Hvor blev 0-dagene af?
The Register refererer også til kritik fra flere uafhængige forskere. VulnCheck-analytiker Patrick Garrity har sat spørgsmålstegn ved Anthropics udsagn om “tusindvis” af alvorlige sårbarheder og vurderer, at antallet snarere ligger omkring 40 – eller muligvis ingen dokumenterede 0-dagssårbarheder.
En anden researcher, Devansh, har ifølge The Register gennemgået CVE-advisories, exploit-kode, Anthropics omfattende systemdokumentation og partneraftaler. Hans konklusion er, at Mythos finder reelle fejl, men at historien er præget af upræcise tal og opskruede forventninger. Flere fremhævede eksempler viser desuden betydelig menneskelig indgriben, og i mindst ét tilfælde blev en central sårbarhed fundet af Anthropics offentlige model – ikke Mythos.
Ikke det værktøj, angribere mangler
Endelig peger The Register på, at Mythos næppe ændrer meget set fra angribernes perspektiv. Snehal Antani, CEO i Horizon3.ai, siger til mediet, at angribere allerede har adgang til modeller og værktøjer, der kan accelerere sårbarhedsjagt. Mythos er ikke en forudsætning.
Samlet set tegner The Registers artikel et billede, der står i kontrast til den første dramatiske fortælling: Mythos er ude – ja. Adgangen slap – ja. Men når støjen og hypen skrælles væk, ligner modellen foreløbig mere et effektivt hjælpeværktøj end den eksistentielle cybertrussel, den først blev udlagt som.