Den 7 april slog det amerikanska AI-företaget Anthropic larm. Deras nya AI-modell Claude Mythos programmeringsförmåga var så hög att den var oroväckande skicklig på att hitta – och utnyttja – säkerhetshål.

Modellen påträffade sårbarheter i samtliga större operativsystem och webbläsare, varav vissa hade förblivit oupptäckta i decennier. Upptäckten har väckt omfattande diskussioner inom cybersäkerhetsbranschen om vilka konsekvenser denna teknologiska utveckling kan få.

Tidigare versioner av Claude har också varit framgångsrika på att granska kod och följa detaljerade instruktioner från människor. Skillnaden är att Mythos arbetar betydligt mer självständigt, enligt Gerald Mako, forskare inom AI och cybersäkerhet vid University of Cambridge.

Modellen kan själv formulera hypoteser, testa dem och sedan finjustera sitt tillvägagångssätt baserat på resultaten. Detta är en fundamental skillnad jämfört med tidigare generationer av AI-verktyg som krävt mycket mer mänsklig styrning och inblandning.

Särskilt anmärkningsvärt är att Mythos kan sammanlänka flera mindre svagheter till en fungerande cyberattack. Denna förmåga att kombinera olika sårbarheter till en sammanhängande attackvektor representerar en ny nivå av autonomi inom AI-driven säkerhetstestning.

## Kontrollerad lansering för säkerhetsändamål

På grund av modellens potentiellt farliga kapacitet valde Anthropic att inte släppa den fritt till allmänheten. Istället skapade företaget ett särskilt projekt där säkerhetsföretag och teknikjättar gavs möjlighet att testa modellen för att identifiera och åtgärda säkerhetshål innan de kunde utnyttjas av illvilliga aktörer.

Cisco är ett av de företag som deltog i projektet. Säkerhetsexperten Mark Jackson vid Cisco beskriver Mythos och liknande modeller som ett paradigmskifte inom cybersäkerhet.

”Denna teknologi sänker dramatiskt kompetenströskeln. Den tillåter angripare att skala upp attacker som tidigare var fullständigt utom räckhåll för dem”, skriver han via e-post.

Enligt en delrapport från Anthropic har projektet hittills identifierat 23 000 sårbarheter under ett par månader, varav 6 200 klassificeras som allvarliga eller kritiska. Företaget planerar att offentliggöra sina fullständiga resultat efter 90 dagar.

”Det råder inget tvivel om att situationen är brådskande. Vi förväntar oss att dessa kapaciteter kommer att bli utbredda i takt med att AI-teknologin utvecklas, och de som har ansvar för skydd måste omedelbart granska sina miljöer”, förklarar Jackson.

## Bred påverkan över flera sektorer

Gerald Mako pekar på banker, tillverkningsindustri, logistik, hälsovård, detaljhandel och myndigheter som särskilt sårbara sektorer. Dessa verksamheter hanterar ofta stora mängder känslig information och är beroende av komplexa digitala system, vilket gör dem till attraktiva mål.

För vanliga individer bör dock oron hållas i proportion, menar Mako. ”Det är inte apokalypsen, men lukten av napalm finns i luften eftersom riktningen är tydlig och AI-utvecklingen kommer inte plötsligt att stanna upp”, säger han.

Sverker Janson, chef för forskningsinstitutet Rise AI Center, delar uppfattningen att vanliga människor inte behöver oroa sig överdrivet. Han betonar att Mythos nu används för att åtgärda säkerhetshål snarare än att skapa nya hot.

”Tvärtom är jag glad att vi får bättre verktyg för att hitta dessa problem, eftersom de annars var öppna mål som vanliga människor också kunde ha hittat om de ansträngde sig. Det är ingen magi”, konstaterar Janson.

## Så fungerar teknologin

Claude Mythos arbetar enligt en systematisk metod. Modellen får läsa källkoden för ett program på en dator som är isolerad från internet för att förhindra oavsiktlig spridning av upptäckta sårbarheter.

Därefter utvecklar Mythos en hypotes om möjliga säkerhetsbrister, som sedan testas för att bekräfta eller avfärda misstankarna. Om hypotesen inte stämmer justerar modellen sitt angreppssätt och försöker igen.

När Mythos har identifierat flera mindre sårbarheter försöker den länka samman dem för att skapa en mer kraftfull attack. Slutligen sammanställer modellen sina upptäckter i en detaljerad buggrapport som utvecklare kan använda för att åtgärda problemen.

Utvecklingen representerar både en möjlighet och en utmaning för cybersäkerhetsindustrin, där kapprustningen mellan angreppare och försvarare nu förs med hjälp av allt mer avancerad artificiell intelligens.