Anthropic test AI-model Mythos voor cybersecurity

In dit artikel:

Anthropic heeft een preview vrijgegeven van Claude Mythos, een nieuw “frontier”-taalmodel dat volgens het bedrijf eruit springt door sterke cyberbeveiligingsvaardigheden — niet alleen het opsporen van kwetsbaarheden, maar ook het uitwerken van werkende exploits. De lancering gebeurt binnen Project Glasswing, waarin een selecte groep van ongeveer twaalf kernpartners (onder wie Amazon, Apple, Microsoft en de Linux Foundation) en circa veertig andere organisaties het model in defensieve security-toepassingen test en hun bevindingen met de sector delen.

Anthropic zegt dat Mythos geen speciaal voor cybersecurity getraind model is, maar dat verbeterd codebegrip en redeneringsvermogen het geschikt maken voor nieuwe taken. Interne tests zouden in korte tijd duizenden kwetsbaarheden hebben blootgelegd, waaronder veel zero-days en fouten die soms al tien tot twintig jaar in code zitten; veel van die bevindingen zijn nog niet gepatcht, waardoor onafhankelijke verificatie voorlopig lastig is. De beweringen sluiten aan bij eerder uitgelekte documenten waarin Mythos als krachtiger dan de bestaande Opus-modellen werd gepresenteerd — die lekken werden door Anthropic toegeschreven aan menselijke fouten bij het beheer van interne bestanden.

Anthropic voert een gecontroleerde uitrol omdat zulke capaciteiten dubbel gebruik toelaten: ze kunnen verdedigende teams flink helpen, maar ook misbruik vergemakkelijken als het in verkeerde handen valt. Tegelijk merkt het bedrijf op dat de onderliggende vooruitgang voortkomt uit algemene AI-verbeteringen en daardoor lastig volledig te remmen is. De aankondiging valt samen met een recent operationeel veiligheidsprobleem bij Anthropic zelf, waarbij duizenden broncodebestanden tijdelijk leken te zijn blootgesteld en GitHub-repositories offline werden gehaald — een illustratie dat ook ontwikkelaars van geavanceerde securitytools kwetsbaar zijn voor menselijke en procedurele fouten.

Kortom: Claude Mythos belooft krachtige middelen voor het vinden en uitwerken van softwarefouten, maar de combinatie van onvolledige verificatie, risico op misbruik en recente operationele fouten benadrukt de noodzaak van terughoudende uitrol, zorgvuldige samenwerking met vertrouwde partners en snelle, verantwoorde disclosure en patchingpraktijken.