← Back
Experterna: Anthropics nya ai-modell kan bli ett digitalt maktmedel för USA
Policy
Security
Technology
Strategy
International
🛡️
CVE Intelligence
Loading CVE data...
Dario Amodei, vd för AI-bolaget Anthropic. Arkivbild.Illustration: Ny Teknik/AP/TT
Experterna: Anthropics nya ai-modell kan bli ett digitalt maktmedel för USA
”Ett kvantsprång inom cybersäkerhet” – så beskriver svenska experter Anthropics nya ai-modell. Men många frågor är ännu obesvarade om hur kraftfull Mythos egentligen är – samt om tekniken kan bli ett geopolitiskt vapen.
Den nya ai-modellen fokuserar på cybersäkerhet, och ska enligt Anthropic kunna hitta och utnyttja säkerhetsluckor i alla stora operativsystem samt nätläsare. Särskilt graverande är att det rör sig om sårbarheter som kan utnyttjas i så kallade dagnollattacker (dayzero-attacks på engelska).
Det är en typ av intrång som kan ge mycket allvarliga konsekvenser, eftersom de baseras på svagheter som tidigare inte har varit kända. Det innebär att it-leverantörerna ännu inte haft möjlighet att rätta felet med en mjukvaruppdatering.
Anthropic anser självt att modellen är för kraftfull för att kunna släppas till allmänheten i nuläget. I stället ska den först testas av ett konsortium av stora techbolag i USA, däribland Apple, Google och Microsoft – sannolikt för att företagen i fråga ska hinna att åtgärda eventuella säkerhetsbrister som hittas.
Annons
Experten: Kapprustning inom cybersäkerhetbranschen
De svenska it-säkerhetsexperterna Åsa Schwarz och Robert Malmgren har följt ai-utvecklingen på nära håll de senaste åren. Om Mythos lever upp till Anthopics löften, kommer den globala cybersäkerhetsbranschen sannolikt behöva förändras fort.
– Det pågår en kapprustning i branschen just nu. Vi måste bli extremt snabbt och jobba mer datadrivet för att kunna hålla koll på alla nya sårbarheter som nya ai-system kan upptäcka i en hastighet som aldrig har setts tidigare, säger Åsa Schwarz, strategiansvarig hos konsultbolaget Knowit Cybersecurity & Law.
Kan slå mot internets ryggrad
Robert Malmgren, som driver konsultfirman Romab, använder ordet ”kvantsprång” för att beskriva det stora kliv som Anthropics nya modell kan representera. Han har själv använt maskinlärning och ai-modeller i delar av sitt arbete i flera år, men säger att det finns tecken på att Mythos har tagit tekniken till en ny nivå. Och det kan få stora konsekvenser.
– Ändå sedan 2010 och ”Stuxnet” har it använts som ett kraftfullt vapen i konflikter. Se bara på Iran, där angripare har kunnat ta över trafikkameror för att följa landets ledare i realtid. Utvecklingen av den här tekniken kommer inte att stanna av.
– Den här tekniken kan inte bara används för att hitta sårbarheter i operativsystem – upptäcks liknade luckor i program eller verktyg med öppen källkod kan det slå hårt mot delar av hela internets ryggrad. Det gör att företagsledare och andra makthavare måste tänka över hela sin nuvarande it-säkerhetsstrategi, fortsätter han.
Detaljen som överraskade säkerhetsspecialisten
Anthropic har för vana att publicera ”security cards”, som ger en översikt av hur en ny ai-modell hanterar säkerhetsfrågor – samt vilka potentiella risker som finns. Åsa Schwarz har tittat närmare på rapporten om Mythos – och en detalj som fastnade är hur väl modellen klarar av olika tester för att pröva robustheten i säkerhetslösningar.
Annons
Capture the flag-tävlingar (CTF) är en välbeprövad metod för det, och går ut på att deltagarna ska använda sina förmågor inom bland annat knäckande av lösenord och kryptering för att hitta något – exempelvis en textfil – som har gömts i ett it-system.
– Modellen har testats i 35 CTF-tävlingar som är välkända inom cybersäkerhetsbranschen. Och den klarade av allihop. Det ger en tydlig bild av vad tekniken ser ut att vara kapabel till.
Vad betyder det för cybersäkerhetsbranschen?
– Ansvarsfull rapportering (responsible disclosure på engelska, reds anm) har varit praxis i branschen länge. Det innebär att it-säkerhetsforskare förvarnar bolag och ger dem kanske 30 dagar att åtgärda en ny säkerhetslucka innan den blir offentlig. Jag vet inte riktigt hur det ska vara möjligt att använda den processen framåt.
Enligt en rapport är över 99 procent av alla it-sårbarheter som Mythos identifierat fortfarande okända. Kan det verkligen stämma?
– Det har alltid funnits säkerhetsluckor i alla operativsystem och webbläsare. Tidigare har dessa behövts upptäckas av en människa för att kunna åtgärdas. Det som sker nu är att ai-system kommer att kunna hitta svaga punkter i en takt som vi inte längre kan matcha, säger Åsa Schwarz.
Stor hype råder just nu
Än finns det dock obesvarade frågor om exakt hur kraftfull Mythos är. Ai-bolag som Anthropic har en historik av att förstora upp betydelsen som nya modeller kan komma att få.
Det är uppenbart att det finns ett mått av ”hype” kring Anthropics senaste alster, säger Robert Malmgren. Men en sak som sticker ut just nu är att tekniken delas med en grupp av andra företag i Silicon Valley i ett så pass tidigt skede, påpekar han.
– Det är anmärkningsvärt att Anthropic har fått med sig konkurrenterna. På ett sätt är det som att dessa bolag ger underbetyg till sina egna modeller.
Både Robert Malmgren och Åsa Schwarz Ahlin reagerar dock på att ovan nämnda grupp enbart består av teknikföretag från USA. Inga bolag från exempelvis Europa eller Asien är inkluderade.
Risken: Geopolitisk murbräcka
Det här kan skapa en obalans som kan leda till att en allt större del av makten över internet och digitala system förskjuts till en liten mängd techbolag, enligt Åsa Schwarz. Och det är något som skulle kunna utnyttjas som en hävstång om de geopolitiska spänningarna mellan exempelvis USA och Europa ökar, befarar hon.
– Diskussionerna om ai-risker handlar ofta om framtida mördarrobotar. Jag tror att vi även måste börja titta på frågan ur ett it-säkerhetsperspektiv. Redan i dag sker det cyberattacker som är till stor del automatiserade med ai. Det pekar på vikten av att vi i Europa faktiskt måste bygga upp egna förmågor och motmedel inom ai, säger hon.
”Kan skapa en multipolär värld”
Dessutom är USA och dess ai-bolag knappast de enda som arbetar med den här typen av teknik, poängterar Robert Malmgren. Man kan därför utgå från att illasinnade aktörer, må så vara stater, statssponsrade aktörer eller hackergrupper, ligger hack i häl – eller redan har teknik med motsvarande förmågor.
– Jag är mer orolig över vad som sker i länder eller grupper som inte är öppna som Anthropic. Ta Kina som exempel – frågan är om de har hunnit kapp Väst i fråga om gpu- och mjukvarutveckling – eller om landet redan har gått förbi oss. Jag tror att den här utvecklingen kommer att skapa en ny multipolär värld där det blir tydligt att vissa länder har en betydligt mer avancerad och kraftfull kapacitet än andra.
Ny typ av beredskap krävs
För att vara redo för den typ av utmaning som väntar krävs snabbhet och en vilja att bryta invanda tankemönster kring it-säkerhet.
– Företag, organisationer och myndigheter måste vara på tårna framåt för att skydda sina system. Det går inte alltid längre att bara vara reaktiv och vänta på att en systemleverantör ska hinna skicka ut en uppdatering. Man måste ha bättre proaktivt arbete och flera skyddslager. Det får inte bli katastrofala följder av att en bugg finns eller att en patch läggs in för sent.
Mythos är inte släppt till allmänheten än, och Anthropic har inte meddelat under vilka former, prismodeller eller licenser det kommer att ske framåt. Oavsett hur det blir – runt hörnet väntar en mängd andra nya ai-modeller. Modeller som har ”hårdtränats” till att kunna generera allt från exploits, till kodanalyser samt hitta kritiska sårbarhetsmönster, enligt Robert Malmgren.
– Tekniken kommer att bli tillgänglig, troligtvis som allmängods. Det skapar extrema utmaningar inom tung industri och OT-lösningar för automation och inom telekom – som har uppdaterings- och patchcykler som kan vara årslånga, säger han.
Experterna: Anthropics nya ai-modell kan bli ett digitalt maktmedel för USA
”Ett kvantsprång inom cybersäkerhet” – så beskriver svenska experter Anthropics nya ai-modell. Men många frågor är ännu obesvarade om hur kraftfull Mythos egentligen är – samt om tekniken kan bli ett geopolitiskt vapen.
Den nya ai-modellen fokuserar på cybersäkerhet, och ska enligt Anthropic kunna hitta och utnyttja säkerhetsluckor i alla stora operativsystem samt nätläsare. Särskilt graverande är att det rör sig om sårbarheter som kan utnyttjas i så kallade dagnollattacker (dayzero-attacks på engelska).
Det är en typ av intrång som kan ge mycket allvarliga konsekvenser, eftersom de baseras på svagheter som tidigare inte har varit kända. Det innebär att it-leverantörerna ännu inte haft möjlighet att rätta felet med en mjukvaruppdatering.
Anthropic anser självt att modellen är för kraftfull för att kunna släppas till allmänheten i nuläget. I stället ska den först testas av ett konsortium av stora techbolag i USA, däribland Apple, Google och Microsoft – sannolikt för att företagen i fråga ska hinna att åtgärda eventuella säkerhetsbrister som hittas.
Annons
Experten: Kapprustning inom cybersäkerhetbranschen
De svenska it-säkerhetsexperterna Åsa Schwarz och Robert Malmgren har följt ai-utvecklingen på nära håll de senaste åren. Om Mythos lever upp till Anthopics löften, kommer den globala cybersäkerhetsbranschen sannolikt behöva förändras fort.
– Det pågår en kapprustning i branschen just nu. Vi måste bli extremt snabbt och jobba mer datadrivet för att kunna hålla koll på alla nya sårbarheter som nya ai-system kan upptäcka i en hastighet som aldrig har setts tidigare, säger Åsa Schwarz, strategiansvarig hos konsultbolaget Knowit Cybersecurity & Law.
Kan slå mot internets ryggrad
Robert Malmgren, som driver konsultfirman Romab, använder ordet ”kvantsprång” för att beskriva det stora kliv som Anthropics nya modell kan representera. Han har själv använt maskinlärning och ai-modeller i delar av sitt arbete i flera år, men säger att det finns tecken på att Mythos har tagit tekniken till en ny nivå. Och det kan få stora konsekvenser.
– Ändå sedan 2010 och ”Stuxnet” har it använts som ett kraftfullt vapen i konflikter. Se bara på Iran, där angripare har kunnat ta över trafikkameror för att följa landets ledare i realtid. Utvecklingen av den här tekniken kommer inte att stanna av.
– Den här tekniken kan inte bara används för att hitta sårbarheter i operativsystem – upptäcks liknade luckor i program eller verktyg med öppen källkod kan det slå hårt mot delar av hela internets ryggrad. Det gör att företagsledare och andra makthavare måste tänka över hela sin nuvarande it-säkerhetsstrategi, fortsätter han.
Detaljen som överraskade säkerhetsspecialisten
Anthropic har för vana att publicera ”security cards”, som ger en översikt av hur en ny ai-modell hanterar säkerhetsfrågor – samt vilka potentiella risker som finns. Åsa Schwarz har tittat närmare på rapporten om Mythos – och en detalj som fastnade är hur väl modellen klarar av olika tester för att pröva robustheten i säkerhetslösningar.
Annons
Capture the flag-tävlingar (CTF) är en välbeprövad metod för det, och går ut på att deltagarna ska använda sina förmågor inom bland annat knäckande av lösenord och kryptering för att hitta något – exempelvis en textfil – som har gömts i ett it-system.
– Modellen har testats i 35 CTF-tävlingar som är välkända inom cybersäkerhetsbranschen. Och den klarade av allihop. Det ger en tydlig bild av vad tekniken ser ut att vara kapabel till.
Vad betyder det för cybersäkerhetsbranschen?
– Ansvarsfull rapportering (responsible disclosure på engelska, reds anm) har varit praxis i branschen länge. Det innebär att it-säkerhetsforskare förvarnar bolag och ger dem kanske 30 dagar att åtgärda en ny säkerhetslucka innan den blir offentlig. Jag vet inte riktigt hur det ska vara möjligt att använda den processen framåt.
Enligt en rapport är över 99 procent av alla it-sårbarheter som Mythos identifierat fortfarande okända. Kan det verkligen stämma?
– Det har alltid funnits säkerhetsluckor i alla operativsystem och webbläsare. Tidigare har dessa behövts upptäckas av en människa för att kunna åtgärdas. Det som sker nu är att ai-system kommer att kunna hitta svaga punkter i en takt som vi inte längre kan matcha, säger Åsa Schwarz.
Stor hype råder just nu
Än finns det dock obesvarade frågor om exakt hur kraftfull Mythos är. Ai-bolag som Anthropic har en historik av att förstora upp betydelsen som nya modeller kan komma att få.
Det är uppenbart att det finns ett mått av ”hype” kring Anthropics senaste alster, säger Robert Malmgren. Men en sak som sticker ut just nu är att tekniken delas med en grupp av andra företag i Silicon Valley i ett så pass tidigt skede, påpekar han.
– Det är anmärkningsvärt att Anthropic har fått med sig konkurrenterna. På ett sätt är det som att dessa bolag ger underbetyg till sina egna modeller.
Både Robert Malmgren och Åsa Schwarz Ahlin reagerar dock på att ovan nämnda grupp enbart består av teknikföretag från USA. Inga bolag från exempelvis Europa eller Asien är inkluderade.
Risken: Geopolitisk murbräcka
Det här kan skapa en obalans som kan leda till att en allt större del av makten över internet och digitala system förskjuts till en liten mängd techbolag, enligt Åsa Schwarz. Och det är något som skulle kunna utnyttjas som en hävstång om de geopolitiska spänningarna mellan exempelvis USA och Europa ökar, befarar hon.
– Diskussionerna om ai-risker handlar ofta om framtida mördarrobotar. Jag tror att vi även måste börja titta på frågan ur ett it-säkerhetsperspektiv. Redan i dag sker det cyberattacker som är till stor del automatiserade med ai. Det pekar på vikten av att vi i Europa faktiskt måste bygga upp egna förmågor och motmedel inom ai, säger hon.
”Kan skapa en multipolär värld”
Dessutom är USA och dess ai-bolag knappast de enda som arbetar med den här typen av teknik, poängterar Robert Malmgren. Man kan därför utgå från att illasinnade aktörer, må så vara stater, statssponsrade aktörer eller hackergrupper, ligger hack i häl – eller redan har teknik med motsvarande förmågor.
– Jag är mer orolig över vad som sker i länder eller grupper som inte är öppna som Anthropic. Ta Kina som exempel – frågan är om de har hunnit kapp Väst i fråga om gpu- och mjukvarutveckling – eller om landet redan har gått förbi oss. Jag tror att den här utvecklingen kommer att skapa en ny multipolär värld där det blir tydligt att vissa länder har en betydligt mer avancerad och kraftfull kapacitet än andra.
Ny typ av beredskap krävs
För att vara redo för den typ av utmaning som väntar krävs snabbhet och en vilja att bryta invanda tankemönster kring it-säkerhet.
– Företag, organisationer och myndigheter måste vara på tårna framåt för att skydda sina system. Det går inte alltid längre att bara vara reaktiv och vänta på att en systemleverantör ska hinna skicka ut en uppdatering. Man måste ha bättre proaktivt arbete och flera skyddslager. Det får inte bli katastrofala följder av att en bugg finns eller att en patch läggs in för sent.
Mythos är inte släppt till allmänheten än, och Anthropic har inte meddelat under vilka former, prismodeller eller licenser det kommer att ske framåt. Oavsett hur det blir – runt hörnet väntar en mängd andra nya ai-modeller. Modeller som har ”hårdtränats” till att kunna generera allt från exploits, till kodanalyser samt hitta kritiska sårbarhetsmönster, enligt Robert Malmgren.
– Tekniken kommer att bli tillgänglig, troligtvis som allmängods. Det skapar extrema utmaningar inom tung industri och OT-lösningar för automation och inom telekom – som har uppdaterings- och patchcykler som kan vara årslånga, säger han.