Technologie, kterou společnost Anthropic vyvinula, je natolik zručným hackerem, že se ji rozhodla raději veřejnosti nezpřístupnit. Objasníme vám, co Mythos odhalil o dosavadním stavu kyberbezpečnosti i to, jak může změnit internet a fungování firem na celém světě.
Dramatické entrée, kterého Claude Mythos Preview (Mythos) dosáhl, vzbudilo pozornost médií, ale i finančních expertů a vládních představitelů několika států. Tento model společnosti Anthropic se totiž považuje za dvousečnou zbraň.
Podle výzkumníků výborně plní úkoly týkající se počítačové bezpečnosti. Dokázal by rychle, levně a ve velkém měřítku odhalovat tisíce zranitelných míst v softwaru firem, které by je následně včas odstranily. Například Mozilla otestovala Mythos ve svém prohlížeči Firefox, kde bylo zjištěno a následně opraveno desetkrát více chyb než dříve.
Podle Anthropic však model představuje natolik vážnou potenciální hrozbu pro jakoukoli organizaci, že k němu veřejnost raději nepustila. Jelikož Mythos umí bez lidského zásahu lokalizovat bugy, které se skrývají ve starém kódu, snadno je dokáže zneužít. V některých činnostech by svou šikovností dokonce překonal lidi. I když nutně nepředstavuje nový druh kybernetické hrozby, umí proměnit skrytou slabinu v systémové riziko.
Mythos dokáže identifikovat a využít i chyby typu „zero-day“, tedy bugy, o kterých organizace a vývojáři vůbec nevědí a nestihnou je opravit dříve, než na ně zaútočí potenciální hacker. Odhalil například 27 let starou zranitelnost v OpenBSD, který se používá k provozu firewallů a jiné kritické infrastruktury. Přestože má pověst jednoho z nejbezpečnějších operačních systémů na světě, toto slabé místo umožňovalo útočníkovi vzdáleně způsobit selhání jakéhokoli počítače s daným operačním systémem. Model také objevil několik zranitelností v jádře Linuxu, které útočníkovi umožňovaly eskalovat z běžného přístupu uživatele na úplnou kontrolu nad zařízením.
Podobné slabiny dokázal Mythos propojit a převzít tak kontrolu nad hlavními operačními systémy a webovými prohlížeči. Zvládl to zcela autonomně. Znepokojivé je i to, že se v testech pokusil obejít omezení, získat přístup na internet a maskovat své stopy. Tento model by mohl umožnit nejen masové krádeže identity a odhalení obchodních portfolií, ale také průmyslovou špionáž a manipulaci s trhem, které dříve vyžadovaly kapacity celých států.
Podle AISI, přední světové organizace v oblasti bezpečnosti AI, Mythos jako úplně první úspěšně dokončil 32krokovou simulaci kybernetického útoku na korporátní síť. Model tedy dokáže zneužít malé systémy se slabou úrovní zabezpečení, ale AISI nemůže s jistotou říct, zda by byl schopen přemoci dobře chráněné systémy. No zatímco velké korporace mohou mít prostředky na to, aby v reakci na stále sofistikovanější AI hrozby posílily svou ochranu, menší subjekty a provozovatelé veřejné infrastruktury s nedostatečnými zdroji jsou v horší pozici.
Někteří ministři financí, představitelé centrálních bank a finančního sektoru se obávají, že tento model by mohl ohrozit bezpečnost finančních systémů. Britská vláda varovala tamní firmy, že AI brzy usnadní a urychlí kybernetické útoky, na což většina z nich není připravena. Také Evropská komise vede jednání o Mythos s Anthropic.
Ačkoli cílem Anthropic je nakonec veřejně zpřístupnit modely třídy Mythos, tento konkrétní předběžný model nebude veřejně dostupný. Přístup k němu dostalo jen přibližně 50 technologických firem a bank, které mají v rámci projektu Glasswing posoudit rizika Mythosu pro jejich podnikání a zákazníky. Opravou zranitelných míst by měly pomoci ochránit nejkritičtější software na světě. Je mezi nimi i Amazon Web Services, Apple, Google či JPMorganChase.
Konkurence Anthropic, OpenAI, šla jinou cestou. Podobně výkonný model, GPT-5.4-Cyber, byl vydán s mnohem méně omezujícími podmínkami než Mythos. Jeho mladší sourozenec GPT-5.5 je dokonce veřejně dostupný. Zároveň je třeba si uvědomit, že pokročilé modely mají tendenci být rychle kopírovány jinými firmami, včetně open-source vývojářů, jejichž nástroje jsou uživatelům volně dostupné.
Někteří nezávislí analytici a experti v oblasti kybernetické bezpečnosti však zůstávají vůči výkonnosti Mythosu skeptičtí. Společnost Aisle, která se zabývá kyberbezpečností v oblasti AI, analyzovala hlavní tvrzení Anthropic o zranitelnostech typu zero-day. Zjistila, že tyto problémy dokázaly odhalit i jiné, mnohem levnější modely. Odborníci také varují, že většina narušení bezpečnosti stále pochází z dobře známých rizik, jako je slabá autentizace a již zjištěné chyby, které nebyly opraveny. I když není pochyb o tom, že Mythos je výkonný, dramatické oznámení společnosti mu zajistilo značnou mediální pozornost.
Překvapivé je, že k tomu, aby se k modelu, který vzbudil vážné mezinárodní obavy, dostaly nepovolené osoby, nebyly zapotřebí ani vysoce sofistikované hackerské nástroje. Skupině nejmenovaných osob stačilo najít mezery v okolním prostředí systému, jako jsou nesprávně nakonfigurovaná přístupová oprávnění. Tento incident zdůrazňuje důležitost zabezpečení nejen AI modelu, ale také každé úrovně přístupu k němu. Pokud nejsou dodavatelé, externí poskytovatelé a nastavení oprávnění pečlivě monitorovány, mohou představovat riziko. Zároveň se objevily otázky o tom, nakolik jsou velké soukromé společnosti schopny zabránit tomu, aby se jejich pokročilé AI modely dostaly do nesprávných rukou.
Předpokládá se, že v nejbližší době vlády pravděpodobně přehodnotí své protokoly kyberbezpečnosti a rámce reakce na incidenty tak, aby do nich zahrnuly povinné nepřetržité skenování zranitelností pomocí AI. Časy, kdy se organizace spoléhaly pouze na příležitostné kontroly prováděné lidmi, by tak skončily. Přestože by to mohlo díky rychlejšímu odhalování chyb výrazně zvýšit bezpečnost, pravděpodobně by to znásobilo i náklady a riziko zpomalení systémů, falešných poplachů nebo krátkodobých provozních výpadků při aplikování oprav.
Rychlý technologický pokrok také přináší otázku, nakolik by soukromé společnosti měly přijímat stále důležitější rozhodnutí o tom, zda a jak by se měly vytvářet potenciálně nebezpečné AI modely a komu by mělo být povoleno je používat. Od 2. srpna navíc v EU vstoupí v platnost Akt o umělé inteligenci, který se zabývá systémovými riziky vyplývajícími z nejpokročilejších modelů. A ačkoli představuje dobrý začátek, Mythos a předzvěst budoucích nástrojů AI poukazují na potřebu přísnějších pravidel a robustních mezinárodních norem v oblasti kybernetické bezpečnosti.
Bez nich hrozí, že namísto jednoho bezpečného internetu vznikne množství konkurenčních sítí, z nichž každá bude „opravovat“ svůj vlastní systém a žádné z ostatních nebude plně důvěřovat. Internet by již nebyl globálním společným prostorem. Podle The Guardian ta firma nebo stát, který vytvoří nejvýkonnější AI modely, získá geopolitické výhody nejen vůči svým spojencům, ale i nepřátelům.
Pokud chcete využít svou odvahu a expertízu k posílení kybernetické obrany významných systémů, prohlédněte si titanské IT projekty. Pomůžeme vám přejít do nezávislé dimenze freelancingu, kde zachráníte firmy před sofistikovanými útoky hackerů, vybrousíte si portfolio a objevíte rozsáhlou komunitu dalších technologických freelance talentů.
Titánů, kteří se
k nám přidali
Klientů, kterým
jsme pomohli
Úspěšně dodaných
man-days
