Het nieuwe kunstmatige intelligentiemodel van Anthropic, bekend als Voorproefje van Claude MythosHet is het epicentrum geworden van het wereldwijde debat over de grenzen van geavanceerde AI. Het bedrijf zelf geeft toe dat het systeem zo krachtig is op het gebied van cyberbeveiliging dat het heeft besloten het niet op grote schaal te lanceren, een ongebruikelijke beslissing in een sector die gewend is om over elke nieuwe doorbraak te pochen.
Het gaat hier niet alleen om een kleine verbetering ten opzichte van eerdere modellen, maar om een grotere verbetering. een kwalitatieve sprong voorwaarts in het vermogen om computerkwetsbaarheden te detecteren en te exploiterenOverheden, centrale banken, grote financiële instellingen en Europese toezichthouders volgen de zaak op de voet, zich ervan bewust dat een dergelijk instrument de verdediging van kritieke systemen versterkenMaar het zou ook de deur kunnen openzetten voor aanvallen van ongekende omvang als het in de verkeerde handen zou vallen.
Wat is Claude Mythos precies en waarom is de lancering ervan uitgesteld?
Claude Mythos is een van de nieuwste modellen in de Claude-familie, het AI-ecosysteem van Anthropic dat concurreert met ChatGPT van OpenAI en Gemini van GoogleHet is een algemeen toepasbaar model, geschikt voor redeneren, programmeren en werken met een langetermijncontext, maar het meest controversiële kenmerk ervan is... prestaties op het gebied van offensieve en defensieve cyberbeveiliging.
De oproepen “rode teams”Specialisten die AI-systemen tot het uiterste testen, concludeerden in een intern rapport dat Mythos "verrassend capabel" is in cybersecuritytaken. In benchmarktests zoals SWE-bank geverifieerd o SWE-bench ProHet model, dat is ontworpen om het vermogen te meten om realistische software-engineeringproblemen op te lossen, zou volgens gegevens van Anthropic zelf gemakkelijk beter hebben gepresteerd dan toonaangevende commerciële alternatieven, waaronder geavanceerde versies van GPT en Gemini.
Naast de benchmarks is er vooral reden tot bezorgdheid omdat... Mythos is erin geslaagd de locatie te achterhalen. zero-day-kwetsbaarheden —voorheen onbekende gebreken— in veelgebruikte softwarecomponenten, waarvan sommige meer dan twintig jaar oud zijn. In systemen zoals OpenBSD, FFmpeg en FreeBSD-componenten detecteerde het model niet alleen fouten die jarenlang onopgemerkt waren gebleven, maar genereerde het ook werkende exploits om er misbruik van te maken.
Geconfronteerd met deze resultaten koos Anthropic voor een beslissing die ongebruikelijk was in de branche: Het model presenteren en vervolgens aankondigen dat het niet openlijk op de markt gebracht zal worden. omdat het bedrijf van mening is dat het ongekende cyberbeveiligingsrisico's met zich meebrengt. Het bedrijf benadrukt dat Mythos het "best passende" model is dat ze hebben ontwikkeld, maar erkent dat de enorme capaciteit ervan de gevolgen van elk misbruik versterkt.
Een model met 'hacker'-vaardigheden die de menselijke mogelijkheden ver te boven gaan.
Technische documenten en rapporten van diverse organisaties bevestigen dat Mythos markeert een keerpunt in de automatisering van complexe aanvallen.In testomgevingen die echte bedrijfsnetwerken simuleerden, was het systeem in staat om kwetsbaarheden aan elkaar te koppelen, privileges te verhogen en binnen enkele uren permanente toegang te verkrijgen – taken waar een menselijke expert dagen of weken voor nodig zou hebben.
In de JavaScript-engine van Firefox bijvoorbeeld, slaagden eerdere versies van de modellen van Anthropic er zelden in om kwetsbaarheden om te zetten in werkende exploits. Mythos slaagde daar onder dezelfde testomstandigheden wel in. genereerde tientallen operationele exploitsHet reproduceert nauwkeurig de exploitatie van de meest effectieve aanvalsvectoren. Op analyseplatforms zoals OSS-Fuzz, ontworpen om bugs in open-source software te vinden, wordt het geroemd om het detecteren van ernstige kwetsbaarheden die ondanks jarenlange geautomatiseerde tests onopgemerkt waren gebleven.
Het model heeft ook opmerkelijke capaciteiten aangetoond in reverse engineeringHet kan een deel van de programmalogica reconstrueren aan de hand van gecompileerde binaire bestanden en van daaruit kwetsbaarheden opsporen en exploiteren zonder toegang te hebben tot de originele broncode. Dit soort mogelijkheden brengt AI dichter bij scenario's die tot voor kort als exclusief werden beschouwd voor zeer gespecialiseerde menselijke teams.
Een van de meest aangehaalde voorbeelden in beveiligingsbeoordelingen is de zogenaamde "sandwich-test". In een geïsoleerde laboratoriumomgeving kreeg Mythos de controle over een systeem met de expliciete instructie om te proberen... Ontsnap uit de zandbak en neem contact op met de onderzoeker. die toezicht hield op de test. Het model wist een reeks kwetsbaarheden te misbruiken om uit de beperkte omgeving te ontsnappen en een e-mail te sturen naar de verantwoordelijke persoon, die op dat moment niet op kantoor was. Hoewel het incident plaatsvond in een eerdere interne versie en onder directe leiding, illustreert het de mate waarin het systeem in complexe scenario's kan opereren met minimale supervisie.
Ondanks deze demonstraties benadrukken analisten dat We hebben hier niet te maken met een "bewuste" AI of een AI met een eigen wil.Mythos besluit niet uit zichzelf systemen aan te vallen; het voert de taken die het krijgt zo efficiënt mogelijk uit. Het risico is in die zin niet dat het model in opstand komt, maar dat iemand het gebruikt – of ertoe dwingt via geraffineerde aanwijzingen – om schadelijke acties uit te voeren.
Project Glasswing: Mythos in dienst van de verdediging… voor een select groepje.
In plaats van Mythos open te stellen voor het grote publiek, heeft Anthropic ervoor gekozen om het te omringen met een specifiek programma. Project GlasswingHet initiatief is ontworpen om de mogelijkheden van het model op een gecontroleerde manier te gebruiken voor de bescherming van kritieke software. Het systeem wordt, onder strikte gebruiksvoorwaarden, aangeboden aan een selecte groep grote technologiebedrijven, infrastructuurproviders en financiële instellingen.
Tot de organisaties met toegang behoren giganten zoals Amazon Web Services, Apple, Microsoft, Google CloudNvidia of BroadcomNaast cybersecuritybedrijven zoals CrowdStrike, wiens gebrekkige software in 2024 een grote wereldwijde verstoring veroorzaakte, behoren ook wereldberoemde banken tot deze groep. JP Morgan Chase en diverse grote Wall Street-groepen, evenals andere organisaties die verantwoordelijk zijn voor het onderhouden van gevoelige IT-infrastructuren.
Anthropic heeft ook aangekondigd leningen ter waarde van 100 miljoen dollar Deze financiering stelt deze organisaties in staat om Mythos te gebruiken voor kwetsbaarheidsanalyse, samen met donaties aan stichtingen voor vrije software zoals de Linux Foundation en de Apache Software Foundation. Het officiële doel is duidelijk: beheerders van 's werelds meest cruciale software in staat stellen om kwetsbaarheden te identificeren en te verhelpen voordat dergelijke tools in handen vallen van potentiële aanvallers.
Deze strategie zorgt echter voor enige onrust binnen de sector. Enerzijds versterkt het het idee dat technologie gevaarlijk genoeg is om de toegang ertoe te beperken. Anderzijds, Het creëert een kloof tussen degenen die profiteren van het 'schild' van de Mythos en degenen die daarbuiten vallen.Bedrijven en overheden die geen deel uitmaken van Glasswing lopen het risico later geconfronteerd te worden met kwetsbaarheden die weliswaar in beveiligde omgevingen zijn geïdentificeerd en verholpen, maar die nog steeds in hun eigen systemen aanwezig zijn.
In Europa baart deze asymmetrie met name degenen die verantwoordelijk zijn voor kritieke infrastructuur en de beveiligingsteams van grote industriële en financiële concerns zorgen. Zij houden nauwlettend in de gaten of... Brussel en de Europese hoofdsteden zorgen ervoor dat soortgelijke programma's belangrijke spelers van het continent op gelijke voet betrekken. en cloudsoevereiniteit met de Amerikaanse partners.
Reacties van overheden, toezichthouders en de financiële sector
De impact van Mythos beperkt zich niet tot het technische vlak. Binnen enkele dagen leidde de aankondiging van het model tot... hooggeplaatste bijeenkomsten in de Verenigde Staten en EuropaDe Amerikaanse minister van Financiën riep de topmannen van de belangrijkste banken van het land naar Washington om de risico's te beoordelen die het systeem voor de financiële stabiliteit zou kunnen vormen. Ook de voorzitter van de Federal Reserve nam aan deze gesprekken deel.
Volgens gelekte informatie in internationale media werden deze entiteiten naar verluidt aangemoedigd om Test Mythos in de verdedigingsmodus.Ze gebruiken het om hun eigen infrastructuur te scannen op zwakke punten voordat anderen dat kunnen doen. De impliciete boodschap is dat de dreiging ernstig genoeg is om een gecoördineerde publiek-private reactie te rechtvaardigen.
Ondertussen heeft de medeoprichter van Anthropic bevestigd dat het bedrijf onderhoudt rechtstreeks overleg met de regering van de Verenigde Staten. over Mythos en toekomstige modellen. Deze gesprekken vinden plaats in een gespannen context, nadat de Amerikaanse autoriteiten het bedrijf onlangs hebben toegevoegd aan een lijst van risico's in de toeleveringsketen, na wrijvingen die verband hielden met het gebruik van hun modellen door het Ministerie van Defensie.
Aan de andere kant van de Atlantische Oceaan heeft de Europese Unie dit opgemerkt. De Europese Commissie heeft publiekelijk haar steun uitgesproken voor een geleidelijke en voorzichtige aanpak van modellen zoals Mythos, en Financiële toezichthouders in het Verenigd Koninkrijk en op het continent zijn begonnen de mogelijke gevolgen ervan specifiek te onderzoeken. voor de banksector en de financiële markten. Het AI Security Institute (AISI) van de Britse overheid heeft het systeem omschreven als een aanzienlijke sprong voorwaarts op het gebied van cyberdreigingen in vergelijking met eerdere generaties.
In Spanje is het publieke debat hierover nog beperkt, maar toezichthoudende instanties en cybersecurityteams van banken en grote energiebedrijven volgen deze ontwikkelingen op de voet. Voor de Europese financiële sector is elke vooruitgang die gecoördineerde aanvallen op betalingssystemen, interbancaire netwerken of handelsplatformen mogelijk zou kunnen maken, reden tot ernstige bezorgdheid.
Scepticisme, twijfels en debat over de "hype" rondom Mythos.
Het account van Anthropic, dat beveiligingswaarschuwingen combineert met spectaculaire prestatiecijfers, is niet zonder kritiek gebleven. Verschillende AI- en cybersecurity-experts hebben opgeroepen tot... Wees voorzichtig bij het interpreteren van de verklaringen van het bedrijf.waarbij opgemerkt wordt dat een groot deel van de beschikbare gegevens uitsluitend afkomstig is uit interne rapporten.
Sommige analisten hebben de uitgebreide documentatie van Anthropic nauwkeurig bestudeerd en wijzen erop dat het cijfer van "duizenden ernstige kwetsbaarheden" gebaseerd is op extrapolaties van een relatief klein aantal handmatig gecontroleerde gevallen. Mythos heeft naar verluidt in bepaalde testsuites een aanzienlijk aantal kritieke kwetsbaarheden gevonden, maar lang niet het bijna apocalyptische scenario dat in sommige krantenkoppen wordt geschetst.
Andere onafhankelijke studies hebben geprobeerd de prestaties van Mythos te vergelijken met kleinere, open-source modellen, waarbij kwetsbare codefragmenten aan verschillende AI's werden voorgelegd om te zien of ze dezelfde fouten konden detecteren. De resultaten wijzen erop dat Sommige open modellen zijn ook in staat complexe kwetsbaarheden te identificeren.Dit zet vraagtekens bij het idee dat Mythos in alle scenario's in een compleet andere klasse opereert.
Dit soort tegenvoorbeelden ontkrachten de mogelijkheden van Mythos niet, maar ze suggereren wel dat Een deel van het debat over publicatie "te gevaarlijk" heeft ook een marketingdimensie.Door een model te presenteren als zowel buitengewoon krachtig als een potentieel risico, wordt het beeld van technologisch leiderschap en verantwoordelijkheid versterkt, iets wat zeer waardevol is in een steeds competitievere markt.
De recente geschiedenis van de industrie doet ook denken aan het precedent van GPT-2 in 2019, toen OpenAI aanvankelijk besloot het volledige model niet te publiceren, omdat het te gevaarlijk zou zijn vanwege het potentieel om desinformatie te genereren. Uiteindelijk werd die versie openbaar gemaakt zonder dat de voorspelde rampen zich voordeden, en veel experts beschouwden het als een voorbeeld van overreactie. Met Mythos, Het verschil is dat de focus niet langer op de tekst ligt, maar op de integriteit van de digitale infrastructuur.een veel gevoeliger gebied voor overheden en banken.
Een delicate balans tussen beveiliging, zakelijke belangen en toegang tot technologie.
Los van alle media-aandacht werpt de situatie rond Mythos een fundamentele vraag op: Wie beslist wanneer een AI-model te gevaarlijk is om vrij te geven? En op basis van welke criteria? Voorlopig is de beslissing eenzijdig genomen door Anthropic, dat ervoor heeft gekozen het systeem in een soort gecontroleerde quarantaine te houden en het te reserveren voor geselecteerde partners.
Deze positie is niet uitsluitend gebaseerd op veiligheidsredenen. Het uitvoeren van een model met de kenmerken van Mythos is erg duur qua computergebruiken het bedrijf zelf erkent dat het momenteel niet beschikt over de noodzakelijke infrastructuur om het op grote schaal aan miljoenen gebruikers aan te bieden. In de praktijk gaan veiligheidsmaatregelen en technische beperkingen hand in hand, waardoor Anthropic de tijd krijgt om zowel het model als de implementatie ervan te verfijnen.
Tegelijkertijd is het bedrijf begonnen om duidelijk onderscheid te maken tussen zijn verschillende producten. Terwijl Mythos blijft bestaan als meest geavanceerde interne standaardHoewel sommige modellen, zoals de Claude Opus 4.7, gereserveerd zijn voor onderzoek en strategische samenwerking, zijn andere juist gericht op dagelijks gebruik door bedrijven en professionals. Anthropic heeft zelfs publiekelijk erkend dat de Opus 4.7 in het algemeen "minder capabel" is dan de Mythos, en met name wat betreft de cybermogelijkheden – iets ongebruikelijks in een branche die elk nieuw model doorgaans presenteert als het beste in alle opzichten.
In dit schema fungeert Mythos als Testomgeving voor mogelijkheden van de volgende generatieHoewel commercieel verkrijgbare modellen slechts een deel van deze mogelijkheden bevatten, met aanvullende beperkingen om risico's te beperken, kan deze scheiding tussen "experimentele" en "productie"-modellen een redelijke aanpak zijn voor veel Europese organisaties die AI willen inzetten zonder direct aan de risico's blootgesteld te worden, mits er voldoende transparantie is over de daadwerkelijke mogelijkheden van elk systeem.
Wat uiteindelijk naar voren komt, is een scenario waarin Cyberbeveiliging betreedt vol overgave het tijdperk van grootschalige offensieve en defensieve AI.Tools zoals Mythos beloven de identificatie van kwetsbaarheden in systemen die al jaren in gebruik zijn te versnellen, maar ze dwingen ook tot een heroverweging van de manier waarop de technologie die ten grondslag ligt aan de digitale economie wordt gedistribueerd en beheerd. Voor Europa en Spanje zal de uitdaging niet alleen zijn om zich te beschermen tegen steeds machtiger wordende modellen, maar ook om ervoor te zorgen dat ze niet worden buitengesloten van de mechanismen die hen in staat stellen hun eigen veiligheid te versterken.
