Antrópico disse isso semana que a estreia de seu novo modelo Claude Mythos Preview marca um momento crítico na evolução da segurança cibernética, representando uma ameaça existencial sem precedentes às estratégias de defesa de software program existentes. Então, é mais um hype da IA – ou um verdadeiro ponto de viragem?
De acordo com a Anthropic, o Mythos Preview ultrapassa um limite de recursos para descobrir vulnerabilidades em praticamente todo e qualquer sistema operacional, navegador ou outro produto de software program e desenvolver de forma autônoma explorações funcionais para hackers. Com isso em mente, a empresa está lançando o novo modelo apenas para algumas dezenas de organizações por enquanto – incluindo Microsoft, Apple, Google e Linux Basis – como parte de um consórcio denominado Projeto Glasswing. Mas depois de anos de especulação sobre como a IA generativa poderia impactar a segurança cibernética, as notícias desta semana geraram controvérsia sobre se um acerto de contas realmente chegou e como poderia ser na prática.
Alguns são extremamente céticos em relação às afirmações da Antrópica. Eles argumentam que os agentes de IA existentes já podem ajudar os utilizadores a encontrar e explorar vulnerabilidades de forma muito mais fácil e barata do que nunca, e que esta realidade está a alimentar refinamentos na forma como as empresas descobrem e corrigem o seu software program sem alterar fundamentalmente o paradigma. E há o fator desagradável de que a Anthropic quase certamente se beneficiará financeiramente ao posicionar seu modelo mais recente como misterioso, excepcionalmente poderoso e exclusivo. Outros pesquisadores e profissionais, porém, dizem que concordam com a avaliação da Anthropic e apontam que a empresa afirmou que o Mythos Preview é apenas o primeiro a alcançar capacidades que acabarão por estar amplamente disponíveis em outros modelos.
“Normalmente sou muito cético em relação a essas coisas, e a comunidade de código aberto tende a ser muito cética, mas fundamentalmente sinto que isso é uma ameaça actual”, diz Alex Zenla, diretor de tecnologia da empresa de segurança em nuvem Edera.
Zenla e outros apontam especificamente para um recurso do Mythos Preview como ponto central. A IA generativa, dizem eles, está agora a tornar-se mais capaz de identificar e desenvolver o que é conhecido como “cadeias de exploração”, ou grupos de vulnerabilidades que podem ser exploradas em sequência para comprometer profundamente um alvo – essencialmente, hacking ao estilo de máquina de Rube Goldberg. Muitas das técnicas de hacking mais sofisticadas empregam cadeias de exploração, incluindo os chamados ataques de clique zero, que comprometem um sistema sem exigir qualquer interação do usuário.
“Já vivemos num mundo onde as empresas executam software program e {hardware} vulneráveis e lutam para corrigir. Muitas empresas não são capazes de proteger a sua infraestrutura – isso não mudou realmente de ontem para hoje”, afirma Niels Provos, engenheiro de segurança e investigador de longa knowledge. “Mas pelo que entendi, o Mythos é realmente bom em criar vulnerabilidades em vários estágios e também fornece a prova de exploração. Não acho que isso altere intrinsecamente o espaço do problema, mas altera o nível de habilidade necessário para encontrar essas vulnerabilidades e explorá-las.”
Um lançamento limitado do Mythos Preview para os participantes do Projeto Glasswing dá apenas aos defensores um pequeno tempo para encontrar pontos fracos em seus próprios sistemas usando o modelo e começar a lidar de forma mais ampla com a forma como o desenvolvimento de software program, os ciclos de atualização e a adoção de patches precisam mudar antes que os próprios invasores tenham acesso generalizado a esses recursos.
Os líderes da indústria parecem estar acatando o aviso. O líder da equipe vermelha de fronteira da Anthropic, Logan Graham, disse à WIRED na terça-feira que, à medida que a empresa entrava em contato com organizações sobre o Projeto Glasswing antes do anúncio desta semana, os telefonemas ficavam cada vez mais curtos porque a ameaça potencial estava se tornando mais óbvia.
“Esta é uma questão que envolve todos os desenvolvedores do modelo. Nosso objetivo aqui é apenas dar o pontapé inicial”, disse Graham. “É muito importante que o Mythos Preview chegue às mãos dos defensores para dar uma vantagem.”
