Grupa amatorów ominęła zabezpieczenia Anthropic i zdobyła dostęp do Mythos Preview – potężnego narzędzia AI do wykrywania luk bezpieczeństwa.
Źródło zdjęcia: WIRED
Grupa użytkowników Discord zdobyła nieautoryzowany dostęp do tajnego narzędzia AI firmy Anthropic o nazwie Mythos Preview – modelu zaprojektowanego do wykrywania luk bezpieczeństwa w oprogramowaniu. Jak donosi magazyn WIRED, amatorzy wykorzystali stosunkowo proste metody detektywistyczne, aby obejść zabezpieczenia i uzyskać dostęp do tego ściśle kontrolowanego narzędzia.
Incydent pokazuje, jak trudno może być kontrolowanie dostępu do zaawansowanych narzędzi AI, nawet dla firm takich jak Anthropic, która szczególnie dba o bezpieczeństwo swoich modeli.
• Proste metody wystarczyły — Grupa Discord nie użyła zaawansowanych technik hakerskich, lecz analizę danych z wcześniejszego naruszenia startupu Mercor oraz "wykształconą domysł o lokalizacji modelu online"
• Szerszy dostęp niż planowano — Intrusi zdobyli dostęp nie tylko do Mythos, ale również do innych niepublikowanych modeli AI firmy Anthropic
• Ograniczone użycie — Grupa jak dotąd używała narzędzia jedynie do tworzenia prostych stron internetowych, aby uniknąć wykrycia
• Mythos jako narzędzie bezpieczeństwa — Mozilla wykorzystała wcześniejszy dostęp do Mythos Preview do znalezienia i naprawienia 271 luk w przeglądarce Firefox 150
• Kontrola dostępu pozostaje wyzwaniem — Incydent pokazuje trudności w ograniczaniu dostępu do potężnych narzędzi AI nawet przez najbardziej ostrożne firmy
Według Bloomberg, które jako pierwsze doniosło o incydencie, grupa Discord wykorzystała kilka metod aby zdobyć dostęp. Przeanalizowali dane z wcześniejszego naruszenia bezpieczeństwa firmy Mercor – startupu zajmującego się szkoleniem AI współpracującego z deweloperami. Na tej podstawie "dokonali wykształconej domysł o lokalizacji modelu online opartej na znajomości formatu używanego przez Anthropic dla innych modeli" – sformułowanie, które obserwatorzy spekulują, że odnosi się do adresu URL.
Dodatkowo, jedna z osób wykorzystała uprawnienia, które już posiadała do dostępu do innych modeli Anthropic, dzięki pracy dla firmy kontraktującej z Anthropic. To połączenie uprawnień i detektywistycznej pracy pozwoliło grupie uzyskać dostęp nie tylko do Mythos, ale również do innych niepublikowanych modeli AI firmy.
Incydent z Mythos to tylko jeden z wielu problemów bezpieczeństwa związanych z AI, które ujawniono w tym tygodniu. Mozilla wykorzystała wczesny dostęp do Mythos Preview do znalezienia i naprawienia aż 271 luk bezpieczeństwa w najnowszej wersji przeglądarki Firefox 150, pokazując potencjał tego narzędzia w pozytywnych zastosowaniach.
Jednocześnie badacze zidentyfikowali grupę północnokoreańskich hakerów wykorzystujących AI do różnych celów – od kodowania malware po tworzenie fałszywych stron firm, kradnąc do 12 milionów dolarów w ciągu trzech miesięcy. To pokazuje dwustronne zastosowania technologii AI w cyberbezpieczeństwie.
Przypadek Mythos Preview ilustruje fundamentalne wyzwanie dla firm AI: jak kontrolować dostęp do potężnych narzędzi, które mogą być zarówno niezwykle użyteczne, jak i potencjalnie niebezpieczne w niewłaściwych rękach.
