Anthropic Mythos: miért nem adják ki, és mit jelent ez a kiberbiztonságnak?

Az Anthropic szerint a Mythos nevű új AI-modell képes lehet eddig ismeretlen (zero-day) sebezhetőségek felderítésére és akár kihasználására is, ezért nem engedik nyilvános használatra. Közben a cég azt is vizsgálja, hogy egy kis csoport jogosulatlanul hozzáférhetett a modellhez, ami újra felveti: mennyire tarthatók kordában a legkockázatosabb AI-képességek.

Ha egy AI nem csak „okos”, hanem képes lehet ismeretlen informatikai hibákat megtalálni és támadási lépésekbe rendezni, az nem sci-fi – hanem kiberbiztonsági kérdés. A Mythos körüli döntés és a feltételezett kiszivárgás pontosan azt mutatja meg, hol feszül egymásnak innováció és kontroll.

Mi történt

Az Anthropic (a Claude chatbot mögött álló amerikai startup) bejelentette, hogy a legújabb modelljét, a Mythos-t nem tervezi nyilvánosan kiadni, mert saját megítélésük szerint globális kiberbiztonsági kockázatot jelenthet. A cég már április 7-én jelezte a modell létezését, és azt állította: a Mythos olyan képességekkel bír, amelyekkel ismeretlen sebezhetőségeket tud azonosítani informatikai rendszerekben.

A kulcsfogalom itt a „zero-day” sebezhetőség: gondolj rá úgy, mint egy zárhibára, amiről sem a gyártó, sem a felhasználó nem tud – ezért nincs rá még javítás (patch), és a védekezők „nulla nap” előnnyel indulnak. Az Anthropic szerint a Mythos – ha erre kérik – képes lehet ilyen hibákat felismerni és akár kihasználni „minden fontos” operációs rendszerben és webböngészőben. A cég ezt „vízválasztó pillanatnak” nevezte, és azt is állította, hogy néhány észrevétlen hiba akár évtizedek óta jelen lehetett.

Miközben a Mythos nem lesz publikus, az Anthropic korlátozott hozzáférést adott bizonyos nagy szereplőknek – a cikk szerint többek között Apple-nek és Goldman Sachs-nak –, hogy felmérjék, milyen kockázatot jelenthet a modell az üzletükre és az ügyfeleikre. A helyzetet tovább élezte, hogy a cég szerdán megerősítette: vizsgálja azt a riportot, miszerint egy privát online fórumon „néhány” felhasználó jogosulatlanul hozzáfért a Mythoshoz. Ez a feltételezett incidens újra ráirányította a figyelmet arra, mennyire nehéz a legkockázatosabb képességeket tartósan „dobozban tartani”.

Miért fontos

A brit AI Security Institute (AISI) szerint a Mythos kézzelfogható példája annak, hogy a fejlett AI diszruptív (azaz a megszokott játékszabályokat felborító) képességei már nem elméleti viták. Az AISI értékelése alapján a Mythos előrelépés a kiberfenyegetési potenciálban: több lépésből álló támadási folyamatokat is képes végigvinni, és képes IT-hibákat azonosítani emberi iránymutatás nélkül. Az intézet szerint a modell egy általuk készített tesztben egy 32 lépéses kibertámadási szimulációt is sikeresen teljesített. AISI ugyanakkor azt is jelezte: gyengébb, kisebb rendszerek ellen működhet, de jól védett rendszerekről nem adott egyértelmű verdiktet.

A hétköznapi felhasználó szempontjából ez két irányba mutat. Egyrészt az AI segíthet védekezni (gyorsabb hibakeresés, jobb monitorozás), másrészt ugyanaz a képesség a támadóknak is „szerszámot” adhat. A brit kormányzati kommunikációban is megjelenik ez a tempóprobléma: a cikk szerint Liz Kendall technológiai miniszter és Dan Jarvis biztonsági miniszter közös levelében arra figyelmeztetett, hogy a cégeknek tervezniük kell azzal, hogy az AI-képességek gyorsan nőhetnek a következő évben.

Ugyanakkor a Mythos körüli narratívát a cikk több oldalról árnyalja. Egyrészt nem mindegy, hogy a Mythos által jelzett „ezrek” közül mennyi az, ami ténylegesen komoly károkozásra alkalmas; és az sem automatikus, hogy egy hiba „megtalálása” egyenlő a hiba megbízható kihasználásával. Másrészt az Aisle nevű AI-kiberbiztonsági cég elemzése szerint az Anthropic egyes állításaihoz képest van árnyalat: azt találták, hogy olcsóbb modellek is képesek lehettek bizonyos, az Anthropic által kiemelt sebezhetőségek azonosítására (példaként a cikk FreeBSD-t említ). Ez nem jelenti azt, hogy a Mythos jelentéktelen – inkább azt, hogy a „mérföldkő” címke mellett a részletek számítanak.

A harmadik, földhözragadt szempont: több szakértő arra is figyelmeztet, hogy a legtöbb adatvédelmi/kiberbiztonsági incidens ma is olyan klasszikus okokra vezethető vissza, mint a gyenge hitelesítés (például rossz jelszókezelés) vagy a már ismert, de be nem foltozott sebezhetőségek. Vagyis miközben a zero-day vadászat látványos, a „higiénia” továbbra is döntő.

Mire figyelj

Mi derül ki a jogosulatlan hozzáférésről? Ha valóban hozzáfértek a Mythoshoz, az precedensértékű lehet abból a szempontból, mennyire tartható fenn a korlátozott terjesztés.
Mit mondanak a független értékelések a valós képességekről? Az AISI tesztjei erős jelzések, de a gyakorlati hatás (különösen jól védett rendszerek ellen) még kérdéses.
Hogyan reagál az iparág: gyorsabb modernizáció vagy csak kommunikáció? A brit NCSC vezetője szerint a Mythos sürgetheti az „elavult technológia” lecserélését – érdemes figyelni, ez mennyire fordul át tényleges beruházásokba.
A „zero-day” fókusz elviszi-e a figyelmet az alapokról? A következő hónapokban kulcskérdés lesz, hogy a szervezetek a látványos AI-kockázatok mellett mennyire javítják a mindennapi védelmi minimumot (patch-elés, hozzáférés-kezelés, monitorozás).

Forrásmegjelölés

The Guardian Tech – 2026. április 22., „What is Mythos AI and why could it be a threat to global cybersecurity?”