A Anthropic afirmou nesta semana que a estreia de seu novo modelo Claude Mythos Preview marca um ponto crítico na evolução da cibersegurança, ao representar uma ameaça existencial sem precedentes às estratégias atuais de defesa de software.
Mas isso é mais exagero em torno de IA ou um verdadeiro ponto de inflexão?
Segundo a empresa, o Mythos Preview cruza um limite de capacidades ao conseguir descobrir fraquezas em praticamente qualquer sistema operacional, navegador ou outro produto de software e desenvolver, de forma autônoma, exploits funcionais para invasão.
Diante disso, a companhia está liberando o novo modelo apenas para algumas dezenas de organizações por enquanto, entre elas Microsoft, Apple, Google e a Linux Foundation, como parte de um consórcio chamado Project Glasswing.
Depois de anos de especulação sobre como a IA generativa poderia afetar a cibersegurança, a notícia desta semana acendeu uma disputa sobre se o momento de ajuste de contas finalmente chegou e sobre como isso se traduziria na prática.
Há quem veja as declarações da Anthropic com enorme ceticismo.
Esses críticos argumentam que os agents de IA já ajudam usuários a encontrar e explorar vulnerabilidades com muito mais facilidade e menor custo do que antes, e que essa realidade está impulsionando melhorias na forma como as empresas descobrem e corrigem falhas em seus softwares, sem mudar de forma profunda o paradigma atual.
Também pesa o desconforto de que a Anthropic provavelmente se beneficie financeiramente ao posicionar seu modelo mais recente como algo misterioso, exclusivo e excepcionalmente poderoso.
Outros pesquisadores e profissionais, porém, dizem concordar com a avaliação da empresa e lembram que a própria Anthropic afirmou que o Mythos Preview é apenas o primeiro a atingir capacidades que, no fim, estarão amplamente disponíveis em outros modelos.
“Normalmente, sou muito cética com esse tipo de coisa, e a comunidade open source tende a ser cética, mas, no fundo, sinto que isso é uma ameaça real”, disse Alex Zenla, diretor de tecnologia da empresa de segurança em cloud Edera.
Zenla e outros apontam especificamente para uma capacidade do Mythos Preview como o verdadeiro ponto de virada.
Segundo eles, a IA generativa está ficando mais capaz de identificar e desenvolver o que são conhecidos como exploit chains, ou grupos de vulnerabilidades exploradas em sequência para comprometer um alvo de forma profunda, uma espécie de hacking em estilo máquina de Rube Goldberg.
Muitas das técnicas de invasão mais sofisticadas usam exploit chains, inclusive os chamados ataques zero-click, que comprometem um sistema sem exigir qualquer interação da vítima.
“Já vivemos em um mundo em que empresas operam software vulnerável, hardware vulnerável e lutam para aplicar patch.
Muitas companhias não conseguem proteger sua infraestrutura.
Isso não mudou de ontem para hoje”, disse Niels Provos, engenheiro e pesquisador de segurança há muito tempo.
“Mas, pelo que entendo, o Mythos é muito bom em criar vulnerabilidades em múltiplas etapas e também fornece a prova da exploração.
Não acho que isso mude, em essência, o problema, mas muda o nível de habilidade necessário para encontrar essas vulnerabilidades e explorá-las.”
A liberação limitada do Mythos Preview apenas para participantes do Project Glasswing dá aos defensores uma pequena vantagem de tempo para usar o modelo na busca por fraquezas em seus próprios sistemas e começar a lidar de forma mais ampla com a necessidade de mudar o desenvolvimento de software, os ciclos de atualização e a adoção de patch antes que atacantes tenham acesso generalizado a capacidades semelhantes.
Os líderes do setor parecem estar levando o alerta a sério.
Logan Graham, líder de red team de ponta da Anthropic, disse que, à medida que a empresa entrou em contato com organizações sobre o Project Glasswing antes do anúncio desta semana, as ligações ficaram cada vez mais curtas, porque a ameaça em potencial se tornava mais evidente.
“Este é um tema que envolve todos os desenvolvedores de modelos.
Nosso objetivo aqui é apenas dar o pontapé inicial”, afirmou Graham.
“É muito importante que o Mythos Preview chegue às mãos dos defensores para lhes dar uma vantagem inicial.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...