I den digitala säkerhetens värld har ett nytt genombrott skett som kan förändra hela landskapet för cybersäkerhet. AI-företaget Anthropic har presenterat en ny AI-modell, kallad Mythos, som enligt företaget har förmågan att identifiera sårbarheter i mjukvara på en nivå som ”utklassar nästan alla människors förmåga”.
Detta är ingen mindre revolution. Enligt Anthropic har modellen redan upptäckt ”tusentals mycket allvarliga sårbarheter” i centrala system som används världen över, inklusive i alla stora operativsystem och webbläsare. Potentialen hos denna teknologi är både lovande och skrämmande på samma gång.
För att hantera denna kraftfulla teknologi på ett ansvarsfullt sätt har Anthropic startat ”Project Glasswing”. Initiativet ger ett urval av de största techbolagen – däribland Google, Microsoft, Apple och Linux Foundation – tillgång till Mythos. Tanken är att dessa aktörer ska kunna identifiera och åtgärda sårbarheter i sina system innan illasinnade aktörer hinner exploatera dem.
Det finns dock frågetecken kring projektet. Noterbart är att Anthropics främsta konkurrent, OpenAI (företaget bakom ChatGPT), inte bjudits in till samarbetet. Inte heller Meta, vars meddelandeapp WhatsApp flera gånger utsatts för avancerat spionage. Detta väcker frågor om huruvida initiativet enbart handlar om att skydda digitala system eller om det också finns kommersiella intressen i bakgrunden.
En av de fåtaliga externa experter som kommer att få tillgång till Mythos är svensken Daniel Stenberg. Han är skaparen av Curl, en av världens mest använda mjukvaror som finns inbyggd i uppskattningsvis tio miljarder enheter – från sportbilar till mobiltelefoner. Stenberg är dock försiktigt skeptisk till Anthropics påståenden.
”Än så länge känns det som snack och marknadsföring,” säger han om Anthropics utspel. Trots sin försiktiga hållning bekräftar Stenberg att AI-system faktiskt har blivit betydligt bättre på att identifiera säkerhetsproblem: ”I fjol dubblades antalet inrapporterade buggar. I år har de dubblats igen. Det är uppenbart att nästan alla är skapade med AI.”
Kvaliteten på dessa AI-genererade buggrapporter har dock varierat kraftigt. För bara ett år sedan blev Stenberg överhopas med rapporter av så låg kvalitet att de oftast var helt värdelösa. Det verkade som om personer utan teknisk kunskap hade bett ChatGPT att hitta sårbarheter och sedan skickat in resultaten utan filtrering. Situationen blev så problematisk att Stenberg tvingades sluta betala ut belöningar för säkerhetstips.
Men utvecklingen har gått snabbt framåt. ”Förr var det skakigt, men nu har kvaliteten verkligen gått upp. Jag använder flera sådana verktyg redan. De analyserar kod på ett sätt som människor inte kan. Nu säger Anthropic att de har nått en ännu högre nivå. Om det stämmer eller inte är svårt att säga,” förklarar Stenberg.
Anthropic har presenterat några konkreta exempel på Mythos förmåga. Ett anmärkningsvärt fall är upptäckten av en säkerhetsbugg i operativsystemet OpenBSD som hade legat dold i koden i 27 år. Enligt Anthropic ”gjorde sårbarheten att en angripare kan krascha en maskin som kör detta operativsystem på distans genom att bara koppla upp sig mot den.”
Timing för tillkännagivandet är intressant mot bakgrund av att USA:s regering nyligen beslutat att Anthropics AI-system skulle uteslutas från Pentagon. Detta efter att företaget vägrat låta militären använda teknologin utan begränsningar.
Oavsett om Project Glasswing delvis är ett PR-grepp eller inte står det klart att en AI-driven kapprustning pågår inom cybersäkerhet. I denna kamp deltar både brottslingar, underrättelsetjänster och techbolag.
För vanliga användare av digital teknologi innebär utvecklingen både möjligheter och risker. Å ena sidan kan AI-system som Mythos bidra till säkrare digitala miljöer genom att identifiera och täppa till säkerhetshål innan de exploateras. Å andra sidan väcker det frågor om vilka som ska ha tillgång till sådan kraftfull teknologi och hur den kan missbrukas om den hamnar i fel händer.
Att upptäcka sårbarheter som legat dolda i decennier visar på den revolutionerande potential som AI har för cybersäkerhetsområdet. Samtidigt understryker det hur sårbara våra digitala system faktiskt är – även de system vi har förlitat oss på i årtionden kan visa sig ha allvarliga säkerhetsluckor.
11 kommentarer
I like the balance sheet here—less leverage than peers.
Good point. Watching costs and grades closely.
Good point. Watching costs and grades closely.
If AISC keeps dropping, this becomes investable for me.
Good point. Watching costs and grades closely.
I like the balance sheet here—less leverage than peers.
Nice to see insider buying—usually a good signal in this space.
Good point. Watching costs and grades closely.
Good point. Watching costs and grades closely.
If AISC keeps dropping, this becomes investable for me.
Good point. Watching costs and grades closely.