Megkezdte felforgató tevékenységét az Anthropic "szuperhekker" mesterséges intelligencia modellje, a Mythos. Mindeközben az EU addig jutott, hogy az Európai Parlament pár tíz képviselője benyújtott egy petíciót, miszerint jó lenne, ha az Európai Bizottság sürgősen kidolgozna valamilyen vészhelyzeti tervet az új MI-modellekre épülő hekkertámadásokra.

A Reuters beszámolója szerint azok az amerikai bankok, melyek hozzáférnek a Mythoshoz, pánikszerű gyorsasággal próbálják kijavítani rendszereikben a modell feltárta sebezhetőségeket. Ez egyfelől jó, hiszen emeli a biztonság szintjét, másfelől problémás, mert ezek a sürgősséggel átvitt javítások növelik a fennakadások lehetőségét a banki működésben, ami végső soron az ügyfeleken csattan.

A Mythos-teszt

A Mythos minden korábbinál élesebben világít rá arra a kulcsproblémára, amire a kibervédelmi szakértők egyre gyakrabban és egyre hangosabban figyelmeztetnek: miközben a támadások gépi sebességgel érkeznek, a védelem még mindig emberi tempóban reagál.

Az Anthropic áprilisban tette elérhetővé több tíz megbízható ügyfele – pl. a Google és a nagyobb bankok, köztük a JP Morgan, a Goldman Sachs, a Citigroup, a Bank of America és a Morgan Stanley – számára tesztelési céllal a Mythost. Az eddigi tesztek legnagyobb tanulsága, hogy alacsony kockázatú sérülékenység nem létezik. A modell ugyanis képes azokat úgy összekapcsolni, hogy az eredmény kritikus kockázat lesz. A másik fontos tanulság, hogy megváltozott a sebezhetőségek hatásának dinamikája. Míg régebben egyes sebezhetőségek hosszú ideig rejtve maradhatnak, mielőtt felfedezték és támadó eszközzé alakították volna őket, ma ez a folyamat pillanatok alatt zajlik le.

Ez jelentős terhet ró a CISO-kra, valamint a biztonsági csapatokra. A Mythost használó szervezetek szerint a modell százas, sőt ezres nagyságrendben tár fel alacsony vagy közepes besorolású sebezhetőségeket, amiket a fentiek miatt azonnal kell javítani. Az ilyen patcheket korábban csak alapos, akár többhetes tesztelés után telepítették. A kényszerű sietség azzal járhat, hogy a bankoknak gyakrabban kell leállítaniuk rendszereiket, ami értelemszerűen fennakadásokat okoz majd az üzletmenetükben – és ügyfeleik üzletmenetében.

Kockázatok a köbön

A Mythos teremtette helyzet azonban nem csak emiatt problémás. Az Anthropic már április elején elismerte, hogy a modell akár önveszélyes is lehet, ugyanis képes feltörni saját biztonsági rendszerét. Ebből következik, hogy rosszindulatú szereplők kezében a rendszer félelmetes kiberfegyverré válna. Szintén áprilisi esemény, hogy egy privát online fórum tagjai ugyanazon a napon férhettek hozzá jogosulatlanul a modellhez, amikor az Anthropic megnyitotta a rendszert a megbízható partnercégeinek. Rendszeresen használták a modellt, de – állítólag – nem támadó céllal.

Van a Mythosnak egy jelentős piaci kockázata is. Mivel a modell drága, és a kisebb bankok nem rendelkeznek a használatához szükséges feldolgozási kapacitással, jelentős versenyhátrányba kerülhetnek. A Claude Mythos árazása eleve tokenalapú, a bevitel (promptolás) tokenenként 25, a kimenet tokenenként 125 dollár, azaz ötször drágább, mint az Anthropic csúcsmodellje, az Opus 4.7. A Preview tesztelésében részt vevő cégek összesen 100 millió dollár értékű kreditet kapnak. Ezt csak részben ellensúlyozza, hogy a nagyobb pénzintézetek megosztanak egyes információkat, adatokat, problémákat kisebb partnereikkel – már csak saját biztonságuk miatt is.

A Mythos rávilágít egy közvetett kockázatra is. Mint a napokban a német Szövetségi Információbiztonsági Hivatal (BSI) elnöke, Claudia Plattner nyilatkozta, a Mythosról legalább tudunk, ám a hasonló célú és valószínűsíthetően létező kínai projektekről az EU-nak nincs semmiféle információja.