Nieautoryzowana grupa użytkowników uzyskała dostęp do Mythos — nowego narzędzia cyberbezpieczeństwa firmy Anthropic, które może być wykorzystane zarówno do ochrony, jak i ataków na systemy korporacyjne. Jak podaje Bloomberg w raporcie opisanym przez TechCrunch, grupa działająca przez „prywatne forum internetowe" zdobyła dostęp do tego ekskluzywnego narzędzia AI poprzez zewnętrznego dostawcy.
Incident budzi szczególne obawy ze względu na moc Mythos — według Anthropic, narzędzie zaprojektowane dla bezpieczeństwa przedsiębiorstw może w niewłaściwych rękach stać się potężnym narzędziem do hakowania.
Kluczowe wnioski
- Nieautoryzowany dostęp: Grupa uzyskała dostęp do Mythos tego samego dnia, w którym Anthropic publicznie ogłosiło narzędzie, wykorzystując wiedzę o formatach URL używanych przez firmę
- Źródło wycieku: Dostęp został zdobyty poprzez środowisko zewnętrznego dostawcy współpracującego z Anthropic, w tym przez pracownika firmy kontraktowej
- Ograniczona dystrybucja: Mythos był udostępniony tylko wybranym dostawcom, w tym Apple, w ramach projektu Glasswing, aby zapobiec niewłaściwemu wykorzystaniu
- Dowody aktywności: Grupa regularnie korzysta z narzędzia i przedstawiła Bloomberg dowody w postaci zrzutów ekranu i demonstracji na żywo
- Motywacje: Według źródła, grupa jest „zainteresowana zabawą z nowymi modelami, a nie sianiem chaosu"
Skala i metody włamania
Nieautoryzowana grupa składa się z członków kanału Discord, którzy specjalizują się w poszukiwaniu informacji o nieopublikowanych modelach AI. Jak wynika z raportu Bloomberg, hakerzy zastosowali kilka strategii, aby uzyskać dostęp do Mythos, w tym wykorzystali „dostęp" osoby zatrudnionej przez zewnętrznego kontraktora współpracującego z Anthropic.
Grupa dokonała „wykształconej supozycji" co do lokalizacji online modelu, bazując na znajomości formatów używanych przez Anthropic dla innych modeli. Ten metodyczny sposób działania sugeruje głęboką znajomość infrastruktury firmy i jej procedur bezpieczeństwa.
Odpowiedź Anthropic i potencjalne konsekwencje
Rzecznik Anthropic potwierdził TechCrunch, że firma „bada raport dotyczący nieautoryzowanego dostępu do Claude Mythos Preview poprzez środowisko jednego z zewnętrznych dostawców". Jak dotąd, nie znaleziono dowodów na to, by domniemana nieautoryzowana aktywność wpłynęła w jakikolwiek sposób na systemy Anthropic.
Jeśli doniesienia się potwierdzą, nieautoryzowane użycie Mythos może oznaczać poważne problemy dla Anthropic, które zapewniało ekskluzywne wydanie narzędzia właśnie w celu rozwiania obaw dotyczących bezpieczeństwa przedsiębiorstw. Narzędzie mogłoby zostać „uzbroone" przeciwko bezpieczeństwu korporacyjnemu zamiast je wzmacniać, jak ostrzegała sama firma.
Incident podkreśla wyzwania związane z kontrolowaną dystrybucją zaawansowanych narzędzi AI, szczególnie tych o potencjale dual-use, które mogą służyć zarówno celom ochronnym, jak i ofensywnym w cyberprzestrzeni.
