Μια ισχυρή AI, που κρατήθηκε μακριά από το κοινό εξαιτίας της ικανότητάς της να παραβιάζει υπολογιστές χωρίς δυσκολία, βρίσκεται στο επίκεντρο της διεθνούς επικαιρότητας. Τι είναι όμως το Mythos, αποτελεί πραγματικά κίνδυνο και μπορεί τελικά να αξιοποιηθεί για να ενισχύσει την κυβερνοασφάλεια;
Το Project Glasswing της Anthropic έχει στόχο τη βελτίωση της διαδικτυακής ασφάλειας.
Τις τελευταίες εβδομάδες, τα νέα γύρω από το Mythos, μια AI που μπορεί να εντοπίζει αδυναμίες κυβερνοασφάλειας μέσα σε λίγα μόλις λεπτά, έχουν προκαλέσει ανησυχία. Το λογισμικό και τα λειτουργικά συστήματα μπορεί έτσι να μείνουν εκτεθειμένα σε χάκερ. Η κοινότητα της κυβερνοασφάλειας αρχίζει πλέον να καταλαβαίνει καλύτερα με ποιον τρόπο το Mythos μπορεί να αλλάξει το πεδίο — και όχι απαραίτητα προς το χειρότερο.
Τι είναι το Mythos και γιατί προκαλεί ανησυχία;
Το Mythos είναι μια AI που δημιούργησε η Anthropic. Η ύπαρξή του αποκαλύφθηκε κατά λάθος τον περασμένο μήνα, όταν εντοπίστηκε περιεχόμενο στον ιστότοπο της εταιρείας, που δεν είχε προγραμματιστεί να δημοσιευτεί και είχε μείνει χωρίς προστασία, ώστε να το δει οποιοσδήποτε.
Ίσως επιτέλους να μάθαμε πώς να χρησιμοποιούμε τους κβαντικούς υπολογιστές για να ενισχύσουμε την AI.
Σύμφωνα με την Anthropic, υπήρχε σοβαρός λόγος που το μοντέλο παρέμενε κλειστό: είναι —από λάθος και όχι από σχεδιασμό— εξαιρετικά καλό στο hacking. Φέρεται να μπορεί να εντοπίζει αδυναμίες σε σχεδόν οποιοδήποτε λογισμικό, αν του ζητηθεί, που θα επέτρεπαν στον χρήστη να εισβάλει.
Η εταιρεία αναφέρει ότι το Mythos βρήκε χιλιάδες ευπάθειες υψηλής και κρίσιμης σοβαρότητας σε λειτουργικά συστήματα και άλλο λογισμικό. Η Anthropic δεν απάντησε στο αίτημα του New Scientist για σχόλιο, όμως ανέφερε στον ιστότοπό της ότι «οι συνέπειες —για τις οικονομίες, τη δημόσια ασφάλεια και την εθνική ασφάλεια— θα μπορούσαν να είναι σοβαρές».
Τα καλύτερα του New Scientist, με μακροσκελή άρθρα, πολιτισμό, podcasts και ειδήσεις, κάθε εβδομάδα.
Η εταιρεία υποστηρίζει ότι έπραξε υπεύθυνα κρατώντας το μοντέλο κρυφό.
Άρα κανείς δεν μπορεί να το χρησιμοποιήσει;
Όχι ακριβώς. Η Anthropic αποφάσισε να το διαθέσει σε μια επιλεγμένη ομάδα τεχνολογικών και χρηματοοικονομικών κολοσσών, όπως οι Amazon Web Services, Apple, Google, JPMorganChase, Microsoft και NVIDIA, στο πλαίσιο του Project Glasswing, ώστε να εντοπίσουν τυχόν σφάλματα στα δικά τους συστήματα πριν το κάνει κάποιος άλλος.
Μέλη ενός ιδιωτικού διαδικτυακού φόρουμ κατάφεραν επίσης να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στη δοκιμή. Σύμφωνα με αναφορές, απλώς έκαναν μια «τεκμηριωμένη εικασία» για το πού φιλοξενούνταν το μοντέλο στο διαδίκτυο — το ίδιο είδος προβλήματος που οδήγησε και στην αποκάλυψη της ύπαρξης του Mythos εξαρχής. Ίσως μια εταιρεία τόσο ανήσυχη για την κυβερνοασφάλεια να πρέπει να προσέχει περισσότερο και τη δική της.
Αν και αρχικά το μοντέλο επρόκειτο να μείνει κρυφό και εκτός χρήσης, τώρα συγκεντρώνει τεράστια προσοχή και δοκιμάζεται από ορισμένους από τους κορυφαίους ειδικούς στην κυβερνοασφάλεια παγκοσμίως. Πολλές από αυτές τις εταιρείες είναι φυσικά και οι μεγαλύτεροι δυνητικοί πελάτες της Anthropic — και ο θόρυβος γύρω από τη δύναμη του Mythos σίγουρα δεν βλάπτει την εταιρεία.
Ο ειδικός σε θέματα ασφάλειας Davi Ottenheimer περιέγραψε την κατάσταση σε ανάρτησή του ως «μια θεμιτή τεχνολογική δυνατότητα, που παρουσιάζεται εκ νέου ως πολιτισμική απειλή, από μια πλευρά που ωφελείται από αυτή την αναδιατύπωση».
Πόσο πρέπει να ανησυχείτε για μια AI αποκάλυψη;
Είναι τόσο επικίνδυνο όσο λένε;
Ο Kevin Curran από το Ulster University στη Βρετανία λέει ότι η αποκάλυψη του Mythos και όσων μπορεί να κάνει «προκάλεσε συναγερμό στη βιομηχανία ασφάλειας», αν και οι ερευνητές διχάστηκαν ως προς το πόσο σοβαρή είναι τελικά η απειλή. «Τι γίνεται όταν μια μηχανή μπορεί σε δευτερόλεπτα να κάνει αυτό που ένας ικανός ανθρώπινος χάκερ χρειάζεται μήνες για να πετύχει;» αναρωτιέται.
Υπάρχουν όμως ενδείξεις ότι προς το παρόν δεν χρειάζεται πανικός. Ο Bobby Holley από το Firefox —ένας από τους οργανισμούς που έχουν λάβει πρόσβαση στο Mythos— έγραψε σε ανάρτησή του ότι το μοντέλο βοήθησε την ομάδα του να εντοπίσει 271 ευπάθειες στον browser, ένας σίγουρα σημαντικός αριθμός, αλλά καμία δεν ήταν τόσο ευρηματική, αδιαπέραστη σε πολυπλοκότητα ή τόσο εξελιγμένη ώστε να μην μπορούσε να την ανακαλύψει άνθρωπος.
«Ένα μόνο τέτοιο σφάλμα θα ήταν σήμα κινδύνου το 2025, και τόσα πολλά μαζί σε κάνουν να αναρωτιέσαι αν είναι καν δυνατό να συμβαδίζεις», έγραψε ο Holley. «Ενθαρρυντικό είναι επίσης ότι δεν έχουμε δει ακόμη σφάλματα που δεν θα μπορούσε να είχε εντοπίσει ένας κορυφαίος ανθρώπινος ερευνητής».
Το AI Security Institute (AISI), που δημιουργήθηκε υπό τον τότε πρωθυπουργό του Ηνωμένου Βασιλείου Rishi Sunak μετά το AI Summit του 2023 στη Βρετανία, εξέτασε επίσης το Mythos. Στις δοκιμές διαπιστώθηκε ότι μπορούσε να επιτεθεί μόνο σε «μικρά, ελάχιστα θωρακισμένα και ευάλωτα εταιρικά συστήματα» και δεν υπήρχε ένδειξη ότι ένα πραγματικά ασφαλές λογισμικό ή δίκτυο θα κινδύνευε, αν και επρόκειτο για σαφή βελτίωση σε σχέση με προηγούμενα μοντέλα. Το AISI προειδοποίησε πάντως ότι αυτές οι δυνατότητες εξελίσσονται γρήγορα. Το AISI δεν σχολίασε όταν το New Scientist ζήτησε να συζητήσει την απειλή.
Ο Alan Woodward, από το University of Surrey στη Βρετανία, βλέπει το ζήτημα με πιο πρακτική ματιά — και μαζί του όλα τα μοντέλα AI γενικά, τα οποία έχουν επίσης τη δυνατότητα να εντοπίζουν ευπάθειες στον κυβερνοχώρο σε διαφορετικό βαθμό. «Η AI δεν είναι απαραίτητα ικανή να βρίσκει ευπάθειες που δεν θα έβρισκε άνθρωπος, αλλά είναι πολύ πιο γρήγορη, πιο διεξοδική και πιο αμείλικτη. Έτσι βρίσκει αδυναμίες που οι άνθρωποι έχουν αφήσει να τους ξεφύγουν», λέει. «Η AI, όπως δείχνει το Mythos, κάνει τη δουλειά του επιτιθέμενου πιο αποτελεσματική και του δίνει ταχύτητα και ευελιξία που κάνουν την άμυνα δυσκολότερη, αλλά όχι αδύνατη».
Άρα, αν και το Mythos μπορεί να εντοπίζει αδυναμίες σε μεγάλη κλίμακα και με μεγάλη ταχύτητα, προς το παρόν δεν φαίνεται να βρίσκει κάτι πραγματικά καταστροφικό. Και υπάρχουν λόγοι να πιστεύει κανείς ότι μπορεί τελικά να αποδειχθεί χρήσιμο.
Η AI σχεδόν αποκλειστικά σχεδιάζεται από άνδρες — να πώς μπορεί να αλλάξει αυτό.
Με τις επιθέσεις της κυβέρνησης Trump στη λεγόμενη woke AI, γίνεται ακόμη δυσκολότερο να κάνουμε την τεχνολογία που χρησιμοποιούμε πιο δίκαιη και πιο ποικιλόμορφη. Οι βασικές φωνές αντιδρούν, γράφει η Catherine de Lange.
Πώς μπορεί μια AI για hacking να είναι θετική;
«Οι αδυναμίες είναι πεπερασμένες και μπαίνουμε σε έναν κόσμο όπου τελικά θα μπορούμε να τις βρίσκουμε όλες», έγραψε ο Holley. Στην πράξη, αν φτιάχνετε ή συντηρείτε λογισμικό, μπορείτε να χρησιμοποιήσετε και το Mythos για να εξετάσετε τον κώδικά σας και να διορθώσετε τα προβλήματα — ίσως ακόμη και πριν κυκλοφορήσει.
Η AI σχεδόν σίγουρα θα γίνει πιο ικανή στον εντοπισμό αδυναμιών και οι κακόβουλοι χρήστες θα επωφεληθούν επίσης σε κάποιο βαθμό. Όμως αυτό θα βοηθήσει και όσους φτιάχνουν λογισμικό — αν και όσοι συντηρούν παλιά, δύσχρηστα κρατικά συστήματα γραμμένα πριν από δεκαετίες μπορεί να δυσκολευτούν να ακολουθήσουν.
Ακόμη και η ίδια η Anthropic πιστεύει ότι οι AI για hacking τελικά θα ωφελήσουν περισσότερο τους αμυνόμενους παρά τους επιτιθέμενους — αν και, φυσικά, το αντίθετο θα ήταν δύσκολο να δικαιολογήσει την ανάπτυξή τους.
Ουσιαστικά, η AI κάνει —και θα συνεχίσει να κάνει— πιο εύκολη τόσο την επίθεση όσο και την άμυνα απέναντι στους χάκερ, όμως όποιοι αγνοήσουν την τεχνολογία θα βρεθούν σε σαφώς μειονεκτική θέση.
«Δείτε το Mythos ως το προειδοποιητικό σήμα που είναι», λέει ο Curran. «Και θεωρήστε ότι μέσα στους επόμενους 18 μήνες αντίστοιχες δυνατότητες θα βρίσκονται στα χέρια αντιπάλων. Το παράθυρο για να προλάβουμε τις εξελίξεις είναι ακόμη ανοιχτό, αλλά κλείνει γρήγορα».
