Koniec bezpiecznego oprogramowania? Claude Mythos zmusza branżę do bolesnej weryfikacji
W świecie technologii granica między „wspieraniem” a „zastępowaniem” człowieka przesuwa się coraz szybciej. Ostatnia zapowiedź Anthropic dotycząca modelu Claude Mythos Preview wywołała jednak poruszenie, które wykracza poza zwykły szum wokół generatywnej sztucznej inteligencji. Firma twierdzi, że przekroczyła próg, za którym SI nie tylko asystuje przy pisaniu kodu, ale staje się autonomicznym odkrywcą luk i twórcą gotowych exploitów, zdolnym do rzucenia wyzwania niemal każdemu systemowi operacyjnemu czy przeglądarce.
Nowa broń w asymetrycznej wojnie
To, co wyróżnia Mythos na tle dotychczasowych narzędzi, to biegłość w konstruowaniu tak zwanych łańcuchów exploitów (exploit chains). W tradycyjnym ujęciu włamanie często wymaga serii powiązanych błędów, które dopiero w połączeniu dają napastnikowi pełną kontrolę nad celem. Dotychczas wymagało to od człowieka ogromnej zdolności do trzymania w pamięci złożonych kontekstów systemowych przez długi czas. Mythos, działając na skalę maszynową, wydaje się eliminować te bariery poznawcze.
Alex Zenla, dyrektor techniczna w firmie Edera, zauważa, że to właśnie ta zdolność do tworzenia wieloetapowych ataków typu „zero-click” stanowi realny punkt zwrotny. Choć branża bezpieczeństwa przywykła do sceptycyzmu wobec obietnic twórców SI, tym razem głos rozsądku idzie w parze z realnymi obawami liderów. W odpowiedzi na te zagrożenia Anthropic powołało Project Glasswing – zamknięte konsorcjum, w ramach którego dostęp do modelu otrzymały tylko nieliczne podmioty, w tym Linux Foundation oraz amerykański Departament Skarbu.
Mistycyzm kontra rzeczywistość
Nie brakuje jednak głosów krytycznych. Część ekspertów, jak Davi Ottenheimer, ostrzega przed uleganiem narracji „kaznodziejów apokalipsy”, którzy budują kapitał na strachu. Złośliwi zauważają, że pozycjonowanie Mythosa jako narzędzia „zbyt niebezpiecznego dla szerokiej publiki” to genialny zabieg marketingowy, podbijający ekskluzywność marki Anthropic. W tym ujęciu SI nie jest magiczną różdżką, a jedynie „karabinem maszynowym”, który zastępuje stare „muszkiety” – zmienia tempo walki, ale nie jej fundamentalne zasady.
Mimo to skala reakcji na najwyższych szczeblach władzy sugeruje, że problemu nie da się zignorować. Spotkania na szczycie w Waszyngtonie z udziałem sekretarza skarbu i szefa Rezerwy Federalnej dowodzą, że stabilność sektora finansowego może zależeć od odporności na ataki generowane przez SI. Przejście na obronę „skalowaną maszynowo” staje się koniecznością w świecie, gdzie miliardy agentów SI mogą jednocześnie szukać słabych punktów w globalnej infrastrukturze.
Początek końca bezpiecznego „z przypadku”
Nadchodząca zmiana paradygmatu może wymusić na deweloperach to, czego nie udało się osiągnąć przez dekady: odejście od łatania dziur w gotowych produktach na rzecz architektury „secure by design” (bezpieczeństwa już na etapie projektowania). Jen Easterly, była dyrektor CISA, dostrzega w Mythos szansę na zakończenie ery oprogramowania wadliwego z założenia. Zamiast budować coraz wyższe mury wokół dziurawych systemów, branża musi zacząć wykorzystywać SI do tworzenia technologii, która w ogóle nie posiada znanych podatności.
Claude Mythos nie zmieni świata z wtorku na środę, ale wyznacza kierunek, w którym cyberbezpieczeństwo musi ewoluować. Wygrywanie z napastnikami będzie wymagało czegoś więcej niż tylko lepszego oprogramowania antywirusowego – będzie wymagało całkowitej przebudowy procesów produkcji kodu, zanim narzędzia takie jak Mythos trafią w ręce mniej odpowiedzialnych graczy.
