O Projeto Glasswing da Anthropic visa melhorar a segurança online
Jonathan Raa/NurFoto via Getty Images)
Nas últimas semanas, vimos notícias aparentemente preocupantes sobre o Mythos, uma IA que pode identificar falhas de segurança cibernética em um instante, deixando sistemas operacionais e software vulneráveis a hackers. A comunidade de cibersegurança está agora a começar a compreender como a Mythos pode mudar a face da cibersegurança – e não necessariamente para pior.
O que são mitos e por que as pessoas se preocupam com eles?
Mythos é uma IA criada pela Anthropic. Sua existência foi descoberta acidentalmente no mês passado, quando as pessoas fizeram algumas escavações conteúdo no site da empresa, não para publicaçãoque são deixados inseguros para qualquer um ver.
De acordo com a Anthropic, há uma boa razão pela qual este modelo está sendo mantido em segredo: ele é – por acidente e não por design – incrivelmente bom em hackear. Ele pode supostamente encontrar pontos fracos em quase todos os softwares, se solicitado, permitindo que os usuários o invadam.
A empresa disse que a Mythos descobriu milhares de vulnerabilidades críticas e de alta gravidade em sistemas operacionais e outros softwares. Antrópico não respondeu Novo Cientista’é um pedido de comentário, mas a empresa diz em seu site que “o impacto – na economia, na segurança pública e na segurança nacional – pode ser grave”.
A empresa disse que tomou medidas responsáveis para ocultá-lo.
Então ninguém pode usá-lo?
Menos preciso. A Anthropic decidiu fornecê-lo a um seleto grupo de gigantes tecnológicos e financeiros como Amazon Web Services, Apple, Google, JPMorganChase, Microsoft e NVIDIA sob algo chamado Projeto Asa de Vidro para que possam encontrar quaisquer bugs em seus softwares antes que qualquer outra pessoa o faça.
Membros de fóruns online privados também conseguiram obter acesso não autorizado aos ensaios. Relatório indicando que eles estavam simplesmente fazendo um “palpite fundamentado” sobre onde o modelo seria hospedado online – o mesmo problema que levou à revelação da existência do Mythos. Talvez as empresas que se preocupam profundamente com a segurança cibernética devessem prestar mais atenção à sua própria segurança cibernética.
Embora este modelo inicialmente fosse mantido em segredo e não fosse mais utilizado, agora ele está ganhando grande atenção e sendo testado por alguns dos melhores especialistas em segurança cibernética do mundo. Muitas dessas empresas também são os maiores clientes potenciais da Anthropic, é claro – e o entusiasmo sobre o poder da Mythos certamente não prejudicará a Anthropic.
O especialista em segurança Davi Ottenheimer resumiu a situação em uma postagem de blog como “uma capacidade tecnológica legítima, reenquadrada como uma ameaça à civilização, por aqueles que se beneficiam dessa reenquadramento”.
É tão perigoso quanto o que as pessoas estão fazendo?
Kevin Curran da Universidade de Ulster, no Reino Unido, disse que a divulgação do Mythos e o que ele poderia ser capaz de fazer “despertou preocupação em toda a indústria de segurança”, embora os pesquisadores discordem sobre a gravidade da ameaça. “O que aconteceria se uma máquina pudesse fazer em segundos o que um hacker humano qualificado levaria meses para realizar?” ele se perguntou.
Mas há indícios de que não é hora de entrar em pânico. Bobby Holley no Firefox – uma das organizações que teve acesso ao Mythos – escreva em uma postagem de blog esse modelo ajudou sua equipe a encontrar 271 vulnerabilidades em navegadores da web, o que certamente é uma tarefa bastante difícil, mas nenhuma delas era tão inteligente, tão complexa ou sofisticada que os humanos não conseguissem desenterrá-las.
“Apenas um bug será um sinal de alerta em 2025, e tantos ao mesmo tempo fazem você se perguntar se é possível acompanhar”, escreveu Holley. “O que é encorajador é que também não vimos nenhum bug Não pode foi descoberto por pesquisadores humanos de elite.”
O AI Security Institute (AISI) – que foi fundado durante o reinado do então primeiro-ministro do Reino Unido, Rishi Sunak, após a Cúpula de IA do Reino Unido em 2023 – também investigar mitos. Nos testes, descobriu-se que o sistema só era capaz de atacar “sistemas empresariais pequenos, fracamente defendidos e vulneráveis” e não havia indicação de que software ou redes verdadeiramente seguras estariam em risco, embora estas capacidades constituíssem uma melhoria em relação aos modelos anteriores. E a AISI alerta que esta condição está a melhorar rapidamente. AISI não comentou quando questionado Novo Cientista para discutir a ameaça.
Alan Woodward da Universidade de Surrey, no Reino Unido, tem uma visão pragmática da ameaça representada pelo Mythos – e todos os outros modelos de IA em geral, que também têm a capacidade de reconhecer vulnerabilidades cibernéticas em vários níveis. “A IA não é necessariamente capaz de encontrar vulnerabilidades que os humanos não conseguem encontrar, mas a IA é muito mais rápida, mais completa e implacável. Portanto, a IA pode encontrar vulnerabilidades das quais os humanos escapam”, disse ele. “A IA, como mostra o Mythos, torna o trabalho dos atacantes mais eficiente e lhes dá velocidade e agilidade que tornam a defesa mais difícil, mas não impossível.”
Portanto, parece que embora o Mythos possa encontrar pontos fracos em escala e velocidade, não encontrou nada particularmente perigoso. E há até motivos para acreditar que isso é realmente uma coisa boa.
Como o hacking de IA pode ser algo positivo?
“As desvantagens são limitadas e estamos entrando em um mundo onde finalmente poderemos encontrar todas elas”, escreveu Holley. Em essência, se você cria ou mantém software, você também pode usar o Mythos para pegar seu próprio código e corrigi-lo – talvez antes mesmo de o código ser lançado.
A IA quase certamente será mais capaz de encontrar pontos fracos e os invasores mal-intencionados quase certamente se beneficiarão disso até certo ponto. Mas também ajudará os fabricantes de software – embora aqueles que mantêm software governamental antigo e desajeitado, criado há décadas, possam ter dificuldades em mantê-lo.
Até a Anthropic acredita que o hacking de IA acabará acontecendo mais favorável aos defensores do que aos atacantes – mas, novamente, dizer o contrário tornaria difícil justificar tais ações.
Essencialmente, a IA facilita – e continuará a facilitar – o hacking e a defesa contra hackers, mas aqueles que ignoram esta tecnologia têm muito a perder.
“Trate Mythos como um aviso”, diz Curran. “E suponhamos que dentro de 18 meses uma capacidade semelhante estará nas mãos do inimigo. A oportunidade de conseguir isso ainda está aberta, mas logo terminará.”
Tópico:
