Anthropic heeft Claude Mythos geïntroduceerd, een nieuw AI-model dat volgens het bedrijf een keerpunt zou kunnen betekenen voor IT-beveiliging. Het model zou extreem goed zijn in het vinden van zwakke plekken in de beveiliging - en dat is precies de reden waarom Anthropic het nog niet openbaar maakt. Op dit moment zou dat gewoon te riskant zijn.

Anthropic zegt dat Mythos 'zero-day' kwetsbaarheden heeft gevonden in alle grote besturingssystemen en browsers, inclusief zeer oude en moeilijk te detecteren zwakke plekken. Onder de genoemde voorbeelden zijn een 27 jaar oude OpenBSD kwetsbaarheid, een 16 jaar oude FFmpeg fout en een 17 jaar oude FreeBSD kwetsbaarheid die naar verluidt root-toegang via het netwerk mogelijk maakte. Het echte gevaar is dat Mythos niet alleen kwetsbaarheden kan identificeren, maar ook complexe exploits kan creëren.

Volgens Anthropic zijn meer dan 99% van de gevonden kwetsbaarheden nog niet gepatcht, wat de reden is waarom het bedrijf Mythos nog niet openbaar wil maken. Als een model als dit zonder de juiste controle in verkeerde handen terecht zou komen, zouden aanvallers kwetsbaarheden sneller in echte aanvallen kunnen omzetten, zelfs voordat er beveiligingsupdates beschikbaar zijn. In plaats daarvan lanceert Anthropic Project Glasswing, een gecontroleerde uitrol voor geselecteerde partners gericht op het defensief beveiligen van kritieke software voordat soortgelijke mogelijkheden op grotere schaal beschikbaar worden.

Het Mythos-model van Anthropic wordt al besproken op Reddit. Velen zien de aankondiging vooral als een sterke marketingzet en twijfelen aan de geclaimde mogelijkheden. Tegelijkertijd is er ook bezorgdheid dat AI aanvallers in de toekomst in toenemende mate zou kunnen helpen om zwakke plekken in de beveiliging te vinden en uit te buiten.