← Back
Kan AI snart hacka in sig överallt? Nya modellen Mythos väcker oro
🛡️
CVE Intelligence
Loading CVE data...
Teknikbolaget Anthropic meddelade i veckan att dess nya AI-modell Mythos har hittat allvarliga säkerhetsluckor i alla stora operativsystem och webbläsare.
För en vanlig finländare är det i praktiken omöjligt att skydda sig mot det här.
– Vi måste bara lita på att någon annan fixar det här för oss, säger hackaren och it-säkerhetsexperten Benjamin Särkkä.
Kapplöpning mot klockan
Anthropic har valt att inte lansera sin AI-modell offentligt tills vidare.
I stället har de startat Project Glasswing, där teknikjättar som Apple och Google får använda verktyget för att lappa hålen innan modellen blir allmänt tillgänglig.
Benjamin Särkkä bedömer att Anthropics påståenden är trovärdiga.
– Jag tror inte att de överdriver, men jag tror att de väldigt selektivt har bestämt vad de vill berätta. Det här för att få den största möjliga effekten med den informationen de har.
Mythos är inte ensam om att hitta buggar
Benjamin Särkkä betonar också att Anthropic inte är ensamma. Till exempel AI-modeller från Meta, Google och Deepseek kan redan i dag hitta en hel del sårbarheter.
Ny forskning från AI-säkerhetsbolaget AISLE bekräftar den här bilden.
Enligt bolaget kan flera av de sårbarheter som Anthropic lyfter fram sannolikt redan upptäckas med fritt tillgängliga AI-modeller.
Högt pris och risk för inlåsning
En stor utmaning är kostnaden för de mest avancerade modellerna. Det kan lätt kosta flera tusen euro att hitta en enskild bugg i ett avancerat it-system.
Särkkä varnar också för att företag som ansluter sig till Project Glasswing riskerar att bli beroende av Anthropic.
Han jämför situationen med den leverantörsinlåsning som affärssystemjätten SAP länge haft på marknaden.
Om man går ut naken är man sårbar. Att sätta kläder på sig är en jättebra idé. Det är samma grej här
it-säkerhetsexperten Benjamin Särkkä
Vi lever i en övergångsperiod
AI blir allt bättre på att hitta sårbarheter, men företagen hinner inte åtgärda dem i samma takt. Därför behövs ”kompenserande kontroller”, alltså skyddslager som hindrar att hålen utnyttjas.
– Om man går ut naken är man sårbar. Att sätta kläder på sig är en jättebra idé. Det är samma grej här, säger Särkkä.
Samtidigt säger han att AI ännu inte är en överlägsen hackare.
Tekniken kan både hitta kända sårbarheter snabbare och upptäcka nya, men människor har fortfarande en unik förmåga att uppfinna helt oväntade attackmetoder.
– AI bygger på den data som finns. Den hittar inte på nya saker på samma sätt som människor gör.
Tröskeln sjunker
Säkerhetsproblemen blir akuta om en tillräckligt kraftfull modell med öppen källkod dyker upp.
Då behöver en angripare bara betala för hårdvaran och elen, och tröskeln för avancerade cyberattacker sjunker dramatiskt.
Särkkä påpekar att vem som helst redan i dag i princip kan sätta upp en så kallad AI-agent med fritt tillgängliga AI-modeller och göra sårbarhetsundersökningar hemifrån.
– Brottslingar som har stora pengar kommer åt det här tidigare. De har råd att betala och köra det på kraftfull hårdvara.
Tidigare kunde det ta veckor från att en sårbarhet upptäcktes till att den utnyttjades. Nu har AI-tekniken krympt den tiden till under ett dygn.
Finland borde agera nu
Särkkä anser att finländska myndigheter och företag inte har tid att vänta.
– Om vi först i dag börjar fundera på hur vi ska använda de här sakerna så är vi jättesena. Men det betyder att vi måste börja senast i dag.
Han föreslår att företag satsar mer på så kallade bug bounty-program, där experter bjuds in för att hitta sårbarheter innan kriminella hinner före.
Modellen Mythos förändrar inte allt över en natt, men Benjamin Särkkä säger att AI-utvecklingen är svår att stoppa.
– Det här är bara ett steg. Det kommer ett nästa steg och efter det ett till.
För en vanlig finländare är det i praktiken omöjligt att skydda sig mot det här.
– Vi måste bara lita på att någon annan fixar det här för oss, säger hackaren och it-säkerhetsexperten Benjamin Särkkä.
Kapplöpning mot klockan
Anthropic har valt att inte lansera sin AI-modell offentligt tills vidare.
I stället har de startat Project Glasswing, där teknikjättar som Apple och Google får använda verktyget för att lappa hålen innan modellen blir allmänt tillgänglig.
Benjamin Särkkä bedömer att Anthropics påståenden är trovärdiga.
– Jag tror inte att de överdriver, men jag tror att de väldigt selektivt har bestämt vad de vill berätta. Det här för att få den största möjliga effekten med den informationen de har.
Mythos är inte ensam om att hitta buggar
Benjamin Särkkä betonar också att Anthropic inte är ensamma. Till exempel AI-modeller från Meta, Google och Deepseek kan redan i dag hitta en hel del sårbarheter.
Ny forskning från AI-säkerhetsbolaget AISLE bekräftar den här bilden.
Enligt bolaget kan flera av de sårbarheter som Anthropic lyfter fram sannolikt redan upptäckas med fritt tillgängliga AI-modeller.
Högt pris och risk för inlåsning
En stor utmaning är kostnaden för de mest avancerade modellerna. Det kan lätt kosta flera tusen euro att hitta en enskild bugg i ett avancerat it-system.
Särkkä varnar också för att företag som ansluter sig till Project Glasswing riskerar att bli beroende av Anthropic.
Han jämför situationen med den leverantörsinlåsning som affärssystemjätten SAP länge haft på marknaden.
Om man går ut naken är man sårbar. Att sätta kläder på sig är en jättebra idé. Det är samma grej här
it-säkerhetsexperten Benjamin Särkkä
Vi lever i en övergångsperiod
AI blir allt bättre på att hitta sårbarheter, men företagen hinner inte åtgärda dem i samma takt. Därför behövs ”kompenserande kontroller”, alltså skyddslager som hindrar att hålen utnyttjas.
– Om man går ut naken är man sårbar. Att sätta kläder på sig är en jättebra idé. Det är samma grej här, säger Särkkä.
Samtidigt säger han att AI ännu inte är en överlägsen hackare.
Tekniken kan både hitta kända sårbarheter snabbare och upptäcka nya, men människor har fortfarande en unik förmåga att uppfinna helt oväntade attackmetoder.
– AI bygger på den data som finns. Den hittar inte på nya saker på samma sätt som människor gör.
Tröskeln sjunker
Säkerhetsproblemen blir akuta om en tillräckligt kraftfull modell med öppen källkod dyker upp.
Då behöver en angripare bara betala för hårdvaran och elen, och tröskeln för avancerade cyberattacker sjunker dramatiskt.
Särkkä påpekar att vem som helst redan i dag i princip kan sätta upp en så kallad AI-agent med fritt tillgängliga AI-modeller och göra sårbarhetsundersökningar hemifrån.
– Brottslingar som har stora pengar kommer åt det här tidigare. De har råd att betala och köra det på kraftfull hårdvara.
Tidigare kunde det ta veckor från att en sårbarhet upptäcktes till att den utnyttjades. Nu har AI-tekniken krympt den tiden till under ett dygn.
Finland borde agera nu
Särkkä anser att finländska myndigheter och företag inte har tid att vänta.
– Om vi först i dag börjar fundera på hur vi ska använda de här sakerna så är vi jättesena. Men det betyder att vi måste börja senast i dag.
Han föreslår att företag satsar mer på så kallade bug bounty-program, där experter bjuds in för att hitta sårbarheter innan kriminella hinner före.
Modellen Mythos förändrar inte allt över en natt, men Benjamin Särkkä säger att AI-utvecklingen är svår att stoppa.
– Det här är bara ett steg. Det kommer ett nästa steg och efter det ett till.