Niebezpieczny model AI Claude Mythos od Anthropic został nieautoryzowanie udostępniony niewłaściwym osobom. Grupa użytkowników z platformy Discord uzyskała dostęp do tego zaawansowanego narzędzia cyberbezpieczeństwa przez dwa tygodnie, co budzi poważne obawy dotyczące bezpieczeństwa najnowszych technologii AI.
Kluczowe wnioski
• Nieautoryzowany dostęp: Grupa użytkowników Discord uzyskała dostęp do modelu Mythos 7 kwietnia, tego samego dnia, gdy Anthropic ogłosiło jego ograniczoną premierę
• Potężne możliwości: Claude Mythos Preview potrafi identyfikować i wykorzystywać luki bezpieczeństwa w każdym głównym systemie operacyjnym i przeglądarce internetowej
• Ograniczona dostępność: Model oficjalnie dostępny jest tylko dla wybranych firm przez inicjatywę Project Glasswing, w tym Nvidia, Google, Amazon Web Services, Apple i Microsoft
• Metody włamania: Grupa wykorzystała wiedzę o formatach innych modeli Anthropic z niedawnego wycieku danych Mercor oraz narzędzia śledztwa internetowego
• Brak publicznej premiery: Anthropic nie planuje publicznego udostępnienia modelu ze względu na obawy o jego potencjalne wykorzystanie jako broni cybernetycznej
Szczegóły incydentu bezpieczeństwa
Bloomberg donosi, że grupa nieautoryzowanych użytkowników uzyskała dostęp do Mythos poprzez połączenie taktyk, wykorzystując dostęp kontraktora zewnętrznego oraz "powszechnie używane narzędzia śledztwa internetowego". Nienazwany członek grupy, zidentyfikowany jedynie jako "kontrakttor zewnętrzny dla Anthropic", ujawnił szczegóły tego incydentu.
Grupa wykorzystała wiedzę o formatach innych modeli Anthropic, zdobytą podczas niedawnego wycieku danych z firmy Mercor, aby "wykształcić przypuszczenie" co do lokalizacji Mythos w internecie. Członkowie regularnie korzystali z modelu od momentu uzyskania dostępu, dostarczając Bloomberg zrzuty ekranu i demonstrację na żywo jako dowód, choć rzekomo nie wykorzystywali go do celów cyberbezpieczeństwa, próbując uniknąć wykrycia przez Anthropic.
Reakcja firmy i potencjalne zagrożenia
Rzecznik Anthropic wydał oświadczenie dla Bloomberg: "Badamy raport twierdzący o nieautoryzowanym dostępie do Claude Mythos Preview przez jedno z naszych środowisk dostawców zewnętrznych". Firma obecnie nie posiada dowodów, że nieautoryzowany dostęp wpływa na systemy firmy lub wykracza poza środowisko dostawcy zewnętrznego.
Claude Mythos Preview to nowy model ogólnego przeznaczenia, który według Anthropic jest "zdolny do identyfikowania i wykorzystywania luk bezpieczeństwa w każdym głównym systemie operacyjnym i każdej głównej przeglądarce internetowej, gdy zostanie do tego skierowany przez użytkownika". Rządy również wykazują zainteresowanie tą technologią, co podkreśla jej strategiczne znaczenie.
Bloomberg donosi również, że grupa uzyskała dostęp do innych niewydanych modeli AI od Anthropic, co sugeruje szerszy problem z bezpieczeństwem danych firmy. Incydent ten podkreśla wyzwania związane z zabezpieczeniem potężnych narzędzi AI przed nieautoryzowanym dostępem, szczególnie gdy dotyczą technologii o potencjale dual-use w cyberbezpieczeństwie.
