K nebezpečnému Claude modelu Mythos sa dostali nepovolené osoby

Anthropic priznáva, že k jeho „najnebezpečnejšiemu“ modelu Claude Mythos Preview sa dostala malá skupina nepovolených používateľov, aj keď mal pôvodne zostať striktne uzamknutý pre úzky okruh partnerov. Podľa informácií Bloombergu išlo o členov súkromného online fóra, ktorí využili prístup človeka pracujúceho ako externý kontraktor Anthropicu. K tomu zároveň využili bežné OSINT nástroje na hľadanie interných endpointov.

Mythos je špecializovaná verzia Clauda zameraná na kyberbezpečnosť, ktorú firma opisuje ako model schopný na pokyn používateľa nájsť a využiť zraniteľnosti v operačných systémoch a prehliadačoch. Oficiálne však k nemu majú cez program Project Glasswing prístup len veľké technologické firmy ako Nvidia, Google, AWS, Apple alebo Microsoft. Spolu s nimi vedia model využívať aj vybrané inštitúcie, ktorým slúži na obranné testovanie vlastného softvéru.

Dostali sa k tomu hneď po spustení

Podľa Bloombergu sa táto nepovolená skupina k Mythosu dostala 7. apríla. Ide o ten istý deň, keď Anthropic oznámil jeho obmedzené sprístupnenie partnerom. Členovia fóra spolu s povereniami kontraktora skúšali odhadnúť URL a API formáty podľa vzorov z predchádzajúcich modelov a informácií, ktoré unikli pri staršom misconfigu CMS, kde bolo verejne prístupných takmer 3000 interných materiálov o Mythose.

Firma zdôrazňuje, že neexistuje náznak, že by skupina model využila na reálne kyberútoky alebo narušila samotnú infraštruktúru Anthropicu. Podľa anonymného člena fóra šlo skôr o experimentovanie a bežné dotazy, aby na seba neupozornili. Ukazuje sa ale, že pri takto silnom nástroji nestačí chrániť len samotný model, ale samozrejme, rovnako dôležitý je aj reťazec ľudí, kontraktorov a konfigurácií okolo neho.