Anthropic: Μύθος η… απειλή του Mythos λένε ειδικοί κυβερνοασφάλειας

Λιγότερο από μία εβδομάδα μετά την παρουσίαση του Claude Mythos Preview από την Anthropic — ενός μοντέλου που η εταιρεία χαρακτήρισε υπερβολικά επικίνδυνο για να διατεθεί στο κοινό — αυξάνεται ο αριθμός των ειδικών στην κυβερνοασφάλεια που αμφισβητούν τους ισχυρισμούς περί «άνευ προηγουμένου κυβερνοδυνατοτήτων». Πολλοί θεωρούν ότι πρόκειται περισσότερο για μία κίνηση εντυπωσιασμού από το τμήμα μάρκετινγκ της εταιρείας παρά για πραγματική απειλή.

Ο Marcus Hutchins, γνωστός για τη συμβολή του στην αντιμετώπιση του WannaCry το 2017 και σήμερα κύριος ερευνητής απειλών στην Expel, συγκαταλέγεται στους πιο έντονους σκεπτικιστές. Σε ανάρτησή του στο LinkedIn στις 11 Απριλίου, εστίασε στα οικονομικά δεδομένα της βασικής ανακάλυψης του μοντέλου — ενός σφάλματος TCP SACK ηλικίας 27 ετών στο OpenBSD. Σύμφωνα με τον Hutchins, η Anthropic δαπάνησε σχεδόν 20.000 δολάρια για να εντοπίσει μια ευπάθεια που, όπως παραδέχθηκε η ίδια, δεν είναι εκμεταλλεύσιμη. «Τα 20.000 δολάρια είναι πολλά χρήματα για ένα μόνο σφάλμα», σχολίασε ο Ciaran Martin, πρώην επικεφαλής του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου, συνοψίζοντας το επιχείρημα.

Ο Hutchins σημείωσε ακόμη ότι το OpenBSD έχει μόλις 0,1% μερίδιο αγοράς και απουσία προγράμματος bug bounty, άρα λίγοι ερευνητές είχαν κίνητρο να εξετάσουν τον κώδικά του. «Αισθάνομαι ότι δεν έχουν αλλάξει και πολλά ακόμα», είπε, προσθέτοντας πως, αν και αισιόδοξος για τη μελλοντική χρήση της τεχνητής νοημοσύνης στον έλεγχο κώδικα, «δεν είμαστε ακόμα εκεί».

Σε εκτενή ανάρτηση στο ιστολόγιο ασφαλείας Flying Penguin, εξετάστηκε η 244 σελίδων κάρτα συστήματος του Mythos. Ο συγγραφέας κατέληξε ότι πρόκειται για «ΑΜΙΓΩΣ μάρκετινγκ χωρίς πραγματικά αποτελέσματα».

Η ανάλυση αποκάλυψε ότι το ποσοστό πλήρους εκτέλεσης κώδικα 72,4% σε σφάλματα της μηχανής JavaScript του Firefox μειώνεται σε περίπου 4% όταν αφαιρεθούν δύο ακραίες ευπάθειες — στοιχείο που η ίδια η κάρτα συστήματος παραδέχεται στη σελίδα 52. Παράλληλα, η εταιρεία AISLE κατάφερε να αναπαράγει το σφάλμα FreeBSD με οκτώ μοντέλα ανοιχτών βαρών, μεταξύ των οποίων ένα με μόλις 3,6 δισεκατομμύρια παραμέτρους και κόστος έντεκα σεντς ανά εκατομμύριο tokens.

«Αν ένα μοντέλο 3,6 δισεκατομμυρίων παραμέτρων για ψίχουλα κάνει επίδειξη, το πλαίσιο της “άνευ προηγουμένου ικανότητας αιχμής” έχει τελειώσει πριν καν αρχίσει», ανέφερε χαρακτηριστικά το ιστολόγιο. Επιπλέον, υποστήριξε ότι η ταχύτερη ανακάλυψη ευπαθειών αποτελεί «επιταχυντή επιδιορθώσεων» και όχι απειλή, καθώς οι αμυνόμενοι ελέγχουν τα εργαλεία και το χρονοδιάγραμμα αποκάλυψης.

Το Flying Penguin χαρακτήρισε την κοινοπραξία Glasswing «ρυθμιστική αιχμαλωσία ντυμένη ως αυτοσυγκράτηση» και σημείωσε ότι η χρονική στιγμή συμπίπτει με την προετοιμασία της Anthropic για πιθανή εισαγωγή στο χρηματιστήριο, με αποτίμηση περίπου 380 δισεκατομμυρίων δολαρίων.

Η αμφισβήτηση δεν περιορίζεται σε μεμονωμένες φωνές. Το Tom’s Hardware ανακάλεσε την αρχική του κάλυψη, διευκρινίζοντας ότι οι «χιλιάδες» zero-days περιορίζονται σε περίπου 198 ευρήματα που έχουν εξεταστεί από ανθρώπους. Το ReversingLabs επικαλέστηκε τον ερευνητή Thomas Ptacek και τον πρώην CISO της Google Phil Venables, οι οποίοι αναγνώρισαν την πρόοδο, αλλά τόνισαν ότι οι αμυνόμενοι διαθέτουν το πλεονέκτημα των πόρων.

Ο Hutchins υπογράμμισε το ίδιο σημείο: «Οι αμυνόμενοι είναι αυτοί που διαθέτουν όλους τους πόρους. Είναι αυτοί που αναπτύσσουν μοντέλα τεχνητής νοημοσύνης πολλών δισεκατομμυρίων δολαρίων αποκλειστικά για τον έλεγχο λογισμικού, κάτι που οι εγκληματίες δεν μπορούν καν να πλησιάσουν σε χρηματοδότηση».

Η Anthropic ανακοίνωσε ότι έως τις 6 Ιουλίου θα δημοσιεύσει δημόσια έκθεση με τα ευρήματα και τις διορθώσεις που έχουν πραγματοποιήσει οι συνεργάτες Glasswing. Μέχρι τότε, όπως έγραψε ο αρθρογράφος του Flying Penguin, «ολόκληρη η αφήγηση στηρίζεται σε μια υπόσχεση της οποίας η ημερομηνία εκπλήρωσης απέχει δώδεκα εβδομάδες».