Inga produkter i varukorgen.
Experten om Anthropics nya AI: “Vi har nått en brytpunkt”
SÄKERHET Anthropics nya AI-modell Mythos ser ut att inte bara kunna hitta säkerhetshål, utan också utnyttja dem. Därmed förskjuts balansen mellan försvar och angrepp, enligt AI-experten Dan Bergh Johnsson.
Dan Bergh Johnsson. Foto: Pressbild & Adobe stock.
Utvecklingen inom AI och cybersäkerhet har gått i tre steg. Först kom förmågan att identifiera buggar i kod. Sedan förmågan att automatiskt patcha dem. Det som nu ser ut att tillkomma med Mythos är det tredje steget: att också kunna exploatera sårbarheter.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
– Försvarssidan har haft en riktigt bra sköld. Nu har angriparsidan fått ett motsvarande bra svärd, säger Dan Bergh Johnsson, innovationschef på Omegapoint.
Han beskriver de senaste månaderna som ett ”gyllene fönster” – en period då AI-baserade verktyg blev snabbt bättre på att hitta och täta sårbarheter, medan förmågan att utnyttja dem inte utvecklades lika snabbt. Det fönstret ser nu ut att hålla på att stängas.
Samtidigt betonar han att det inte handlar om någon helt ny typ av angrepp.
– Det är samma gamla handgrepp: minnesläckage, SQL-injektioner, cross-site scripting. AI gör inte något magiskt nytt – den gör det bara mycket snabbare och bredare.
Han liknar utvecklingen vid ett basketlag med gymnasieungdomar som ställs mot ett NBA-lag.
– Exakt samma regler. Det är bara att det spelas på ett tempo du inte hänger med på.
Det är också där den stora förändringen ligger, enligt honom. Inte i att AI öppnar en ny klass av sårbarheter, utan i att den kan leta bredare, växla snabbare mellan olika angreppssätt och utnyttja svagheter i betydligt högre tempo än tidigare.
Välgranskad kod är inget frikort
Enligt Dan Bergh Johnsson är det heller inte bara enkel eller eftersatt kod som påverkas. Den här typen av verktyg kan också hitta mer subtila sårbarheter i kodbaser som redan är välgranskade.
Han delar upp problemet i två kategorier. Dels de elementära buggarna – som SQL-injektioner och buffer overflows – som med rätt prioriteringar borde kunna förebyggas med verktyg och arbetssätt som redan finns. Dels de mer svårupptäckta bristerna i komplexa och välunderhållna kodbaser, där AI-baserade analysverktyg kan ge ett tydligt övertag.
– Morsdagskampanjen har alltid vunnit över säkerhetsarbetet. Det är den tekniska skulden som nu blir en akut risk, säger han.
För organisationer med äldre system, långa patchcykler eller eftersatt underhåll kan det få stor betydelse. När tempot ökar minskar marginalen för den som redan ligger efter.
Glasswing ska hålla tillbaka spridningen
Anthropic väljer samtidigt att inte släppa Mythos till allmänheten. I stället görs modellen tillgänglig för ett urval partners inom ramen för Project Glasswing, med målet att stärka försvarssidan innan förmågan sprids bredare.
Det ser Dan Bergh Johnsson som ett tecken på att bolaget själva bedömer kapaciteten som känslig. Men han är inte övertygad om att det räcker i längden.
– De stora kinesiska modellerna kommer säkert ha liknande förmåga inom inte alltför lång tid. Det här kommer att bli allmängods.
På längre sikt ser han ändå en möjlig jämvikt. Om försvarssidan använder samma typ av verktyg för att granska kod innan den släpps minskar angriparnas övertag.
– Om vi på den goda sidan kan köra de här analyserna innan mjukvaran släpps, då har den onda sidan inget övertag, säger Dan Bergh Johnsson.
