Partnerem strategicznym Homodigital.pl jest
Linkedin Instagram Twitter

Zapisz się do newslettera

>

Cyberbezpieczeństwo
9 godzin temu

Claude Mythos kreuje zagrożenie dla cyberbezpieczeństwa firm. Choć został pomyślany, aby im pomóc

Rozwijane modele sztucznej inteligencji przynoszą wiele korzyści, ale jednocześnie generują nowe ryzyka i koszty, odsłaniając słabości dotychczasowych rozwiązań i systemów. Najnowszym przykładem jest model stworzony przez Anthropic. Jakie zagrożenia dla firm generuje nowy model i jak firmy mogą się przed tym bronić?

Liczba komentarzy
0 komentarzy
0
Dr nauk ekonomicznych, wykładowca akademicki, przez 20 lat bankowiec, publicysta (obserwatorfinansowy.pl; forsal.pl; interia pl).

Światowe Forum Ekonomiczne uznaje cyber zagrożenia za jedno z 10 kluczowych globalnych ryzyk w perspektywie krótko- (2 lata) i długoterminowej (10 lat). A globalne koszty cyberprzestępczości już są ogromne. W 2025 roku szacowane były na 10,5 bln dolarów. To dziesięciokrotność dochodu narodowego Polski! Światowy średni koszt pojedynczego naruszenia bezpieczeństwa danych korporacyjnych sięgnął w ubiegłym roku 4,4 mln dolarów. W USA był on dwuipółkrotnie wyższy, dochodząc do 10,2 mln dolarów.

Według raportu SoSafe Cybercrime Trends 2025, aż 87% globalnych organizacji doświadczyło już cyberataku opartego na sztucznej inteligencji. A zgodnie z danymi IANS Research, wydają one średnio jednak tylko 0,69% przychodów na cyberbezpieczeństwo. Organizacje te planują zwiększyć swoje wydatki na ten cel w tym roku o średnio 10%. Biorąc pod uwagę nowe możliwości modeli AI, mogą one szybko okazać się mocno niewystarczające!

Źródło grafiki: SoSafe

  Źródło: IANS+ARTICO

Testy tylko dla wybranych

Obrazuje to gorący ostatnio przypadek Claude Mythos firmy Anthropic. W pierwszym tygodniu kwietnia firma udostępniła wersję pilotażową modelu AI (Claude Mythos Preview) w ramach projektu Glasswing. Możliwość testowania technologii otrzymały 52 firmy, głównie amerykańskie, w tym Amazon, Apple, Google, Microsoft, NVIDIA, oraz CrowdStrike, które utrzymują krytyczne struktury oprogramowania. Tego przywileju pozbawione zostały firmy europejskie.

Anthropic przedstawił Mythos jako „znacznie wykraczający poza modele, które dotychczas szkoliliśmy”, uznając go jako część szerszego rozwiązania z zakresu cyberbezpieczeństwa w erze coraz bardziej wyrafinowanych zagrożeń opartych na AI. Wypracowany model identyfikuje bowiem dziury i słabe miejsca w systemach cyberbezpieczeństwa firm z wielu branż.

Ryzyko jest szczególnie dotkliwe w firmach z rozbudowanymi środowiskami technologii operacyjnych, w branżach takich jak energetyka, usługi komunalne, produkcja, gospodarka wodna i transport. Wiele z tych systemów ma dziesiątki lat, nie można ich skutecznie łatać i są one wysoce podatne na ataki z wykorzystaniem sztucznej inteligencji. Według Anthropic model Mythos w czasie testów zidentyfikował tysiące istotnych luk w zabezpieczeniach oprogramowania, wykazując zdolność do mapowania złożonych, wieloetapowych ścieżek ataków w systemach z niespotykaną dotąd szybkością.

Claude Mythos zademonstrował zdolność do osiągnięcia ponad 83% dokładności w wyszukiwaniu nowych luk w zabezpieczeniach w czasie nawet krótszym niż godzina, co znacznie obniża barierę wejścia do systemów operacyjnych firm przez potencjalnych atakujących.

Broń w rękach przestępców

Choć narzędzie, jakim jest Claude Mytos ma charakter defensywny, to trudno się spodziewać, że jego wykorzystanie będzie ograniczone do zaufanych środowisk i celów. Raczej wcześniej niż później dostanie się w niepowołane ręce, a według niepotwierdzonych informacji, już podczas testów wczesna wersja Mythos wydostała się ze swojego środowiska testowego, uzyskując niezależny dostęp do internetu.

To praktycznie gotowa recepta dla hakerów, środowisk przestępczych i innych wrogich aktorów, także państwowych jak Rosja czy Korea Północna. Wiele firm może stać się więc bezbronnych. Tym bardziej, że  badania Anthropic pokazują, że naprawa luk w zabezpieczeniach zajmuje organizacjom średnio ponad pięć miesięcy. To zasadniczo zmienia krajobraz cyberbezpieczeństwa firm, gdyż atakujący mogą korzystać ze znacznie potężniejszych narzędzi niż dotychczas.

Fundamentalnie inna architektura

Jak wskazuje firma konsultingowa Bain, Mythos ma fundamentalnie inną architekturę niż jego poprzednicy. To umożliwia mu korzystanie z czterech funkcji szczególnie istotnych dla cyberbezpieczeństwa:

  • model potrafi zrozumieć intencję kodu i znaleźć ukryte luki za pomocą prostej instrukcji;
  • potrafi połączyć wiele małych luk w jeden niszczycielski atak;
  • zdolny jest także zrekonstruować kod źródłowy z wdrożonego oprogramowania, aby znaleźć podatne na wykorzystanie słabości;
  • następnie po wejściu do sieci może automatycznie mapować systemy, poruszać się poziomo i tworzyć niestandardowe narzędzia do ekstrakcji danych w czasie kilku godzin. 

Jak widać, możliwości wynikające z nowego modelu AI przenoszą ciężar odpowiedzialności za zagrożenie, ze względu na skalę ryzyka z poziomu Dyrektora ds. Cyberbezpieczeństwa firm na ich zarządy. Powagę sytuacji dostrzegli inwestorzy amerykańskich spółek software’owych – dzień po udostępnieniu Claude Mythos ich akcje wyraźnie spadły.

Niepokój wśród nadzorców rynku

Zagrożenia płynące z proliferacji Claude Mythos przyciągnęły uwagę organów nadzorczych i regulacyjnych oraz rządów na całym świecie. Rząd USA planuje udostępnić wersję Mythos głównym agencjom federalnym, a Reuters poinformował, że ​​sekretarz skarbu USA Scott Bessent i prezes Fed Jerome Powell spotkali się z prezesami największych amerykańskich banków, aby przedyskutować potencjalne zagrożenia związane nowym modelem AI.

Następnie ogłoszono, że czołowe firmy AI, m.in.  Microsoft, xAI i Google DeepMind, dołączyły do ​​OpenAI i Anthropic, podpisując umowy, które pozwolą rządowi na weryfikację ich modeli AI pod kątem zagrożeń dla bezpieczeństwa narodowego przed ich szerokim udostępnieniem. Możliwości Claude Mythos wzbudziły też niepokój w Wielkiej Brytanii, gdzie władze przeprowadziły rozmowy z dużymi bankami i rządowymi specjalistami ds. cyberbezpieczeństwa, aby ocenić potencjalne zagrożenia. Podobne spotkania miały miejsce w wielu innych jurysdykcjach – Australii, Korei Południowej i Hongkongu.

REUTERS/Dado Ruvic/Illustration/File Photo

UE na razie bez dostępu

Działania firmy Anthropic stały się przedmiotem dyskusji w Parlamencie Europejskim, podczas której urzędnicy Komisji Europejskiej i unijnej agencji ds. cyberbezpieczeństwa (ENISA) omówili zagrożenia związane z modelem Mythos. Zgłoszono postulaty opracowania europejskiego planu łagodzenia skutków wdrożenia modelu AI mającego na celu ochronę europejskich kluczowych firm przed zagrożeniami hakerskimi.

Komisja Europejska podjęła rozmowy, aby  firmy europejskie, zwłaszcza reprezentujące sektor bankowy, mogły przeprowadzać testy odporności cybernetycznej z wykorzystaniem Mythos – poinformował Komisarz UE ds. finansowych Valdis Dombrovskis. Niestety, do 25 maja tego roku, Anthropic nie udostępnił takiej możliwości.

Pomocną dłoń wyciągnął OpenAI

Firma ogłosiła 10 maja, że przyzna UE dostęp do swojego najnowszego modelu ChatGPT 5.5, który został niedawno przetestowany przez brytyjski Instytut Bezpieczeństwa Sztucznej Inteligencji (AISI), potwierdzając, że osiąga on podobny poziom wydajności jak Anthropic.

Dostęp uzyskają zdefiniowani urzędnicy i organy nadzorcze UE i będzie on ograniczony do bezpiecznej wersji modelu, który uniemożliwia użytkownikom wykorzystanie go jako narzędzia hakerskiego. Indywidualną możliwość testowania uzyskały też wybrane firmy europejskie, takie jak Deutsche Telekom, bank BBVA, Telefonica, Sophos i Scalable Capital i kilkanaście innych.

Warto podkreślić, że model OpenAI koncentruje się na wyspecjalizowanych, autonomicznych agentach obronnych, zdolnych do wykonywania zaawansowanych zadań, takich jak inżynieria wsteczna plików binarnych. To proces dekonstrukcji złożonego i skompilowanego kodu w celu zrozumienia jego struktury, logiki działania i algorytmów pomocny w wyszukiwaniu luk w zabezpieczeniach oraz modyfikowaniu oprogramowania. Ta strategiczna zmiana, wspierana przez program Trusted Access for Cyber ​​(TAC), stwarza zaciętą konkurencję między modelami ofensywnymi a obronnymi.

Działania prewencyjne firm?

Data szerokiego udostępnienia Claude Mythos nie została na razie zdefiniowana. Wcześniej czy później jednak to nastąpi, więc firmy posiadające duże systemy operacyjne powinny zacząć się na ten moment przygotowywać. Konsultanci z Bain&Company sugerują, żeby firmy podjęły następujące działania:

1. Utworzenie specjalnego centrum zarządzania zagrożeniami AI;

2. Wzmocnienie podstawowych możliwości cyberbezpieczeństwa na poziomie tzw. „głębokiej ochrony”, co wiąże się z znacznym zwiększeniem wydatków;

3. Zajęcie się pilnymi zagrożeniami dla środowisk technologii operacyjnych (OT) w firmach opierających się na przemysłowych systemach sterowania, które mają dziesiątki lat i w których nie można już wprowadzić istotnych poprawek w zakresie bezpieczeństwa, bo zostały one zaprojektowane z myślą o niezawodności a nie bezpieczeństwie (np. energetyka, produkcja, firmy użyteczności publicznej).

Wdrożenie Claude Mythos i innych podobnych modeli AI może być istotnym testem z zakresu odporności dla wielu firm i sektorów przed przełomem w zakresie cyberbezpieczeństwa, który będzie następstwem wdrożenia komputerów kwantowych. Ma to nastąpić do końca obecnej dekady. Technologia kwantowa fundamentalnie podważy wiele współczesnych metod szyfrowania, stanowiąc kolejną falę zagrożeń, po którą z pewnością sięgną organizacje przestępcze.

Czytaj też: Dojrzewanie Claude’a – co mówią o rozwoju AI najnowsze dokumenty publikowane przez Anthropic?

Źródło zdjęcia: Luke Jones/Unsplash

Tagi:
Przeczytaj więcej na ten temat
Rewolucja AI
HomoDigital – Subiektywnie o technologii.

ZAPISZ SIĘ DO NEWSLETTERA

O NAS

ZNAJDZIESZ W SIECI

Facebook homodigital Linkedin @homodigital Instagram @homodigital
Home Strona główna Subiektywnie o finansach
Linkedin Instagram Twitter
Skip to content email-icon