Leggi in app
Non era ancora stato reso disponibile e già qualcuno lo stava impiegando. Questo è accaduto con Claude Mythos Preview, il nuovo modello di Anthropic non ancora accessibile al pubblico, in grado di identificare vulnerabilità nei software con un livello di autonomia tale che, se utilizzato in modo improprio, potrebbe facilitare attacchi informatici.
Un ristretto gruppo di utenti sarebbe riuscito a ottenerne l’accesso nel medesimo giorno in cui è stata annunciata una distribuzione limitata a una selezione di aziende. Anthropic ha confermato di essere al lavoro su un’indagine riguardante un accesso non autorizzato avvenuto tramite un fornitore terzo, mentre Bloomberg e altre testate riportano che l’accesso sarebbe avvenuto poco dopo il lancio controllato del modello.
Modalità di violazione di Claude Mythos
Potrebbe sembrare una violazione come molte nel settore dell’AI, ma non è così. Mythos, infatti, non è un chatbot come gli altri, ma un modello che Anthropic definisce particolarmente sofisticato nelle operazioni di cybersecurity, tanto da essere stato inserito in un programma separato, accessibile solo su invito e senza registrazione pubblica. Nella documentazione ufficiale, l’azienda chiarisce che Claude Mythos Preview è stato distribuito come “research preview” per attività di sicurezza difensiva e che i partner coinvolti lo stanno utilizzando per identificare e risolvere vulnerabilità nei sistemi più critici.
Secondo le ricostruzioni, l’accesso sarebbe stato reso possibile grazie alle credenziali di uno degli utenti, un dipendente di un appaltatore di Anthropic, unite a tecniche tipiche della ricerca in sicurezza informatica. Sempre secondo questa versione, gli utenti non avrebbero impiegato il modello per attacchi o violazioni, ma principalmente per esplorarne le potenzialità e testarne il funzionamento.
Anthropic afferma che il modello ha già identificato migliaia di vulnerabilità di alta gravità, comprese falle nei principali sistemi operativi e browser, e che in diversi casi è riuscito a scoprire problemi sfuggiti per anni a revisori umani e test automatici.
L’AI che ha appreso a pensare come un hacker
Troppa enfasi? È prematuro dirlo. Nel frattempo, l’AI Security Institute britannico segnala un notevole progresso nelle capacità cyber del modello. Nei test effettuati, Mythos sarebbe riuscito a eseguire attacchi composti da più fasi su reti vulnerabili e a identificare e sfruttare le vulnerabilità nei sistemi in autonomia — cioè non solo trovarle, ma anche comprendere come utilizzarle per compromettere un software. Attività che, di norma, richiederebbero giorni di lavoro a specialisti umani.
Il modello sarebbe stato anche il primo a completare una simulazione di attacco informatico in 32 passaggi, riuscendoci in 3 casi su 10 e portandone a termine in media 22. Nei test “capture-the-flag” di livello avanzato – esercitazioni di sicurezza in cui è necessario trovare e sfruttare vulnerabilità per raggiungere obiettivi nascosti – avrebbe ottenuto un tasso di successo del 73%.
I commenti sono chiusi.