CISA sætter AI på kodegennemgang: Mythos finder fejl i føderale systemer
Den amerikanske cybersikkerhedsmyndighed CISA er angiveligt begyndt at anvende Anthropics avancerede AI‑model Mythos til systematisk at scanne føderale myndigheders software for sårbarheder. Initiativet sker i regi af en specialiseret enhed, der kombinerer klassisk penetrationstest med AI‑baseret analyse – og de foreløbige resultater peger på et betydeligt antal fund.
Det skriver Security Week.
AI i maskinrummet hos CISA
Ifølge oplysninger gengivet af Reuters anvender CISA modellen til at gennemgå kildekode på tværs af føderale agenturer med det formål at identificere sikkerhedsfejl, før de opdages og udnyttes af modstandere.
Arbejdet ledes efter sigende af CISA’s Attack Surface Evaluation‑team, som i forvejen har til opgave at gennemføre tekniske sikkerhedsvurderinger og simulere angreb mod offentlige systemer.
Det centrale greb er ikke nyt i princippet – automatiseret scanning af kode har eksisteret i årtier – men skaleringspotentialet er markant anderledes. Hvor traditionelle værktøjer primært baserer sig på signaturer eller fuzzing, forsøger Mythos at analysere kode på et niveau, der minder om menneskelige eksperters ræsonnement. Det betyder i praksis, at modellen kan sammensætte hele angrebskæder og identificere komplekse afhængigheder mellem komponenter fremfor at pege på isolerede fejl.
Mange fund
Kilder med indsigt i programmet beskriver, at AI‑initiativet allerede har identificeret et “stort antal” sårbarheder i føderal software, fremgår det af Security Week. Omfanget, alvorligheden og hvilke systemer der er berørt, er dog ikke offentliggjort. Hverken CISA eller Anthropic har ønsket at kommentere arbejdet officielt.
Erfaringer fra andre sammenhænge peger på, at mængden af fund kan blive en udfordring i sig selv. I test med open source‑projekter har Mythos‑lignende analyser produceret store mængder resultater, som kræver betydelig kapacitet at validere og omsætte til konkrete patches.
AI som defensivt masseværktøj
Brugen af Mythos i en statslig kontekst bekræfter den tendens, at AI er ved at tippe balancen i sårbarhedsjagt fra manuel analyse til automatiseret masseinspektion. Tidligere tests har vist, at modellen kan identificere hundredevis af fejl i komplekse kodebaser på relativt kort tid. Dermed flyttes flaskehalsen fra opdagelse til håndtering.
Samarbejdet mellem CISA og Anthropic udspiller sig samtidig i en anspændt politisk kontekst.
Tidligere på året opstod der konflikt mellem virksomheden og amerikanske myndigheder, efter at Anthropic afviste krav om at fjerne sikkerhedsbegrænsninger i sine modeller. Konflikten førte angiveligt til, at Pentagon klassificerede virksomheden som en potentiel forsyningskæderisiko.
NSA og den bredere anvendelse
CISA står ikke alene i brugen af modellen. Ifølge samme kilder anvendes Mythos også af NSA i forskellige operationelle sammenhænge. Dermed tegner der sig et billede af, at AI‑drevet sårbarhedsscanning er blevet en integreret del af efterretnings- og sikkerhedsarbejdet. Dette harmonerer med en generel bevægelse i cyberdomænet, hvor både defensive og offensive kapaciteter i stigende grad automatiseres og skaleres med AI.
Kontrolleret adgang – og kontrolleret risiko
Anthropic har hidtil holdt Mythos i et relativt lukket kredsløb af betroede partnere netop på grund af modellens potentiale. Teknologien er i sin natur dual‑use: Den kan bruges til at finde og lukke sårbarheder – men også til at identificere dem med henblik på udnyttelse. Det gør kontrolleret adgang til en central mekanisme. Programmer som Project Glasswing, hvor udvalgte organisationer får adgang til modellen under stramme rammer, afspejler et forsøg på at balancere nytte og risiko.
CISAs brug af Mythos peger mod en fremtid, hvor manuel kodegennemgang i stigende grad suppleres – eller overhales – af AI‑baserede analyser. Som Security Week skriver, er spørgsmålet hvor mange sårbarheder kan håndteres i praksis, og hvor hurtigt organisationer kan nå at reagere på dem. For med AI er det nu muligt at gennemlyse hele softwareporteføljer på statsligt niveau med en frekvens og dybde, der tidligere ikke var ladesiggørlig.