A Anthropic disse na terça-feira que seu modelo de inteligência artificial inédito, chamado Claude Mythos, provou ser extremamente hábil em descobrir vulnerabilidades de software.
A Mythos descobriu milhares de vulnerabilidades em aplicações amplamente utilizadas para as quais não existem patches ou correções, o que levou a startup de IA com sede em São Francisco a formar uma aliança com especialistas em segurança cibernética para fortalecer as defesas contra hackers e evitar a ampla distribuição.
“Temos um novo modelo que não lançamos publicamente”, disse Mike Krieger, da Anthropic Labs, na conferência HumanX AI em São Francisco.
Krieger explicou que a Anthropic permitiu que especialistas e engenheiros de segurança cibernética da comunidade de código aberto trabalhassem com a Mythos para usar o modelo como “uma espécie de arma defensiva que os pré-armaria”.
Os saltos nas capacidades do modelo de IA também levantaram preocupações sobre o uso de tais ferramentas por hackers para quebrar senhas ou quebrar a criptografia para manter os dados seguros.
De acordo com a Anthropic, as vulnerabilidades mais antigas descobertas pelo Mythos datam de 27 anos, e nenhuma foi aparentemente percebida por seus criadores antes de ser detectada pelo modelo de IA.
Mythos é a última geração da família Claude de IAs da Anthropic, e um vazamento recente de parte de seu código levou a startup a publicar uma postagem no blog alertando que ele representa riscos de segurança cibernética sem precedentes.
“Os modelos de IA atingiram uma capacidade de codificação que pode superar todos, exceto os humanos mais qualificados, na descoberta e exploração de vulnerabilidades de software”, disse a Anthropic em uma postagem de blog. “As consequências para as economias, a segurança pública e a segurança nacional podem ser graves.”
De acordo com a Anthropic, as vulnerabilidades de software descobertas pela Mythos eram muitas vezes sutis e difíceis de detectar sem inteligência artificial. Como exemplo, ele disse que a Mythos encontrou uma falha anteriormente não detectada em software de vídeo que foi testada mais de 5 milhões de vezes por seus criadores.
Por precaução, a Anthropic compartilhou uma versão do Mythos com as empresas de segurança cibernética CrowdStrike e Palo Alto Networks, bem como Amazon, Apple e Microsoft, em um projeto que chama de “Glasswing”.
As gigantes das redes Cisco e Broadcom também estão envolvidas no projeto, assim como a Linux Foundation, que oferece suporte ao sistema operacional de computador Linux gratuito e de código aberto.
Anthony Grieco, diretor de segurança e confiança da Cisco, disse em comunicado conjunto sobre a Glasswing: “Este trabalho é muito importante e urgente para ser feito sozinho”. “As capacidades de IA ultrapassaram um limite que mudou fundamentalmente a urgência necessária para proteger infraestruturas críticas contra ameaças cibernéticas, e não há como voltar atrás.”
Diz-se que cerca de 40 organizações envolvidas no projeto, manutenção ou operação de sistemas de computador aderiram à Glasswing. Os parceiros do projeto compartilharão suas descobertas do Mythos, de acordo com a Anthropic, que forneceu aproximadamente US$ 100 milhões em recursos computacionais para a missão. De acordo com Grieco, os primeiros trabalhos com modelos de IA mostraram que eles podem ajudar a encontrar e corrigir vulnerabilidades em software e hardware a uma velocidade e escala não possíveis anteriormente.
“A janela entre a descoberta de uma vulnerabilidade e a sua exploração por um adversário entrou em colapso; o que costumava levar meses agora acontece em minutos com a IA”, disse Elia Zaitsev, diretor de tecnologia da Crowdstrike.
“A prévia do Claude Mythos mostra o que é possível para os defensores em grande escala, e os oponentes inevitavelmente tentarão tirar vantagem das mesmas capacidades”, acrescentou.
A Anthropic disse que estava em negociações com o governo dos EUA sobre a Mythos, apesar da decisão da Casa Branca em fevereiro de rescindir todos os contratos com a startup. Essa diretriz foi suspensa por um juiz de um tribunal federal, enquanto a contestação legal da Anthropic continua tramitando nos tribunais.
