A Anthropic anunciou recentemente o lançamento de um novo modelo de IA, o Claude Mythos Preview, e simultaneamente iniciou um plano de defesa em cibersegurança chamado “Project Glasswing”. Dado que a capacidade desse modelo para identificar vulnerabilidades de software supera em muito a tecnologia atualmente existente, a Anthropic decidiu não o disponibilizar publicamente por enquanto, apenas autorizando o seu uso a 40 gigantes tecnológicos e empresas de infraestruturas, incluindo a Apple e a Google, entre outras, para evitar que as capacidades do modelo caiam nas mãos de agentes maliciosos.
A Anthropic lança o Claude Mythos Preview, conferindo capacidades de cibersegurança à IA
O anúncio posiciona o Claude Mythos Preview como um modelo de IA de uso geral, cujas excecionais capacidades de codificação e raciocínio o fazem revelar um desempenho surpreendente na área da segurança na Internet.
A Anthropic afirma que, durante testes internos nos últimos semanas, o Mythos Preview já identificou milhares de vulnerabilidades zero-day (zero-day vulnerabilities) que nunca tinham sido detetadas, em todos os sistemas operativos e navegadores principais. Muitas dessas vulnerabilidades são classificadas como de nível de elevado risco, e algumas chegaram mesmo a permanecer latentes no sistema durante décadas.
Entre um dos casos, o Mythos Preview identificou e explorou de forma totalmente autónoma uma vulnerabilidade de execução remota de código no sistema operativo FreeBSD, que existe há 17 anos, permitindo que pessoas não autorizadas obtenham controlo total do servidor a partir de qualquer ponto na rede.
A Anthropic sublinha que, de entre as vulnerabilidades detetadas até ao momento, mais de 99% ainda não foram corrigidas, pelo que não é possível divulgar publicamente os respetivos detalhes.
Project Glasswing: corrigir sistemas críticos globais antes dos atacantes
Para garantir que as capacidades do Mythos Preview sejam usadas para defesa e não para ataque, a Anthropic lançou o plano Project Glasswing. O nome do projeto tem origem na imagem da borboleta de asas de vidro, simbolizando a característica de as vulnerabilidades de software serem “finas e invisíveis” como as asas de uma borboleta.
Os principais parceiros incluem Amazon Web Services, Apple, Broadcom, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, entre outros, bem como 40 organizações responsáveis por construir ou manter infraestruturas críticas de software, que obtêm credenciais de acesso ao modelo.
A Anthropic compromete-se a fornecer até 100 milhões de dólares em quotas de utilização do modelo, para que as empresas participantes possam usá-lo gratuitamente durante a fase de investigação em cibersegurança, e ainda a doar mais 4 milhões de dólares a organizações de segurança open source, incluindo o financiamento, através da Linux Foundation, das iniciativas Alpha-Omega e OpenSSF, bem como doações à Apache Software Foundation. Os parceiros irão partilhar os resultados dos testes, permitindo que toda a indústria tecnológica beneficie.
Dilema de lâmina dupla: por que razão a Anthropic recusa publicar o lançamento?
O responsável da equipa de cibersegurança da Anthropic, Newton Cheng, afirmou de forma clara que não pretende disponibilizar o Claude Mythos Preview ao público em geral, por receio dos potenciais riscos de ataque:
À medida que as capacidades de IA continuam a evoluir rapidamente, ferramentas poderosas semelhantes acabarão, mais cedo ou mais tarde, por se disseminar entre agentes maliciosos. Se isso acontecer, o impacto será severo na segurança económica, pública e nacional.
A responsável de gestão de produtos de investigação da Anthropic, Dianne Penn, afirmou que está a trabalhar em conjunto com o governo dos EUA para discutir o assunto, incluindo entidades como a Cybersecurity and Infrastructure Security Agency (CISA) e o AI Standards and Innovation Center, entre outras.
Importa notar que o momento deste anúncio coincide com o facto de, poucas semanas antes, ter eclodido uma controvérsia entre a Anthropic e o Departamento de Defesa dos EUA sobre o uso seguro do modelo Claude, e até agora ambos ainda têm um litígio legal.
(Anthropic processa o Pentágono: inclusão em lista negra poderá levar a perdas de dezenas de mil milhões de dólares e prejudicar gravemente a capacidade de angariar fundos)
Dario Amodei: a IA tornará o mundo da rede mais seguro, mas o período de transição está cheio de desafios
A Anthropic admite que proteger as infraestruturas globais da Internet poderá exigir vários anos, e que o período de transição também estará cheio de variáveis. No entanto, a empresa mantém uma atitude prudente mas optimista em relação ao futuro a longo prazo, prevendo que, no final, as capacidades de defesa da IA virão a ganhar predominância, ajudando a construir um ecossistema de software mais seguro.
A Anthropic também planeia, nos próximos modelos da série Claude Opus, introduzir em primeiro lugar mecanismos de proteção em cibersegurança para saídas de alto risco; depois, quando a tecnologia estiver madura, avançar gradualmente para a implementação em larga escala de modelos do nível Mythos. Tal como o CEO da empresa, Dario Amodei, disse no X:
Assim que acertarmos, teremos a oportunidade de construir uma Internet e um mundo mais seguros do que aqueles que existiriam antes do aparecimento de capacidades de ataque à Internet impulsionadas por IA.
Este artigo, A Anthropic lança um plano global de cibersegurança Glasswing; por que razão o novo modelo Mythos não é disponibilizado ao público em geral? — foi publicado pela primeira vez em 鏈新聞 ABMedia.
