Egy AI, ami emberfeletti tempóban talál meg szoftverhibákat, aranyat ér a védekezésben — de ugyanebből a képességből könnyen támadóeszköz is lehet. Az Anthropic most látványosan a „csak óvatosan” megközelítést választotta.

Mi történt

Az Anthropic bejelentette, hogy elindította új kiberbiztonsági modelljét, a Claude Mythos Preview-t, de csak egy szűk, átvilágított (vetted) ügyfélkör számára teszi elérhetővé. A cég szerint a hozzáférés olyan szervezetekre korlátozódik, mint az Amazon, Apple és Microsoft, valamint említette többek között a Broadcomot, a Ciscót és a CrowdStrike-ot is. Az Anthropic azt is közölte: tárgyal az amerikai kormánnyal a felhasználásról.

A bejelentés időzítése nem véletlen: az elmúlt hetekben két biztonsági incidens is érintette a céget. A forrás szerint múlt hónapban a Mythos modell leírásai és más dokumentumok kerültek elő egy nyilvánosan elérhető adatcache-ben (gondolj rá úgy, mint egy rosszul konfigurált, „nyitva hagyott” tárhelyre). Ezt követte egy második eset: a Claude Code (az Anthropic személyi asszisztenséhez kapcsolódó) belső forráskódja vált nyilvánossá. A vállalat mindkét alkalommal „emberi hibára” vezette vissza, hogy az anyagok kikerültek.

A Mythos közben már több hete fut partnereknél. Bár a cég „általános célú” (general purpose) modellként írja le — vagyis nem kizárólag egyetlen feladatra készült —, ez az első alkalom, hogy az Anthropic kifejezetten a kiberbiztonsági képességek miatt korlátozott kiadást választ.

Miért fontos

A kiberbiztonságban a skála a lényeg: rengeteg kód, rengeteg konfiguráció, rengeteg lehetséges hiba. Az Anthropic állítása szerint a Mythos képes sebezhetőségeket az emberi kapacitást meghaladó léptékben azonosítani. Ez a védelmi oldalon azt jelenti, hogy gyorsabban lehet hibákat találni, priorizálni és javítani — mintha egyszerre sok, fáradhatatlan kódelemző dolgozna.

Csakhogy ugyanaz a tudás a támadó oldalon is érték. A cég nyíltan kimondja: a modell képes lehet módszereket kidolgozni a sebezhetőségek kihasználására is, amit rosszindulatú szereplők felhasználhatnak. Ezért nem terveznek széles körű kiadást. Dianne Na Penn, az Anthropic termékmenedzsmentért felelős kutatási vezetője szerint ezek a technológiák elég erősek ahhoz, hogy „nagyon sok hasznos jót” tegyenek, de kockázatosak, ha „rossz kezekbe kerülnek” — a kiválasztott cégek pedig szerinte előnyt kapnak a sebezhetőségek biztosításában és a kódok detektálásában olyan léptékben, ami korábban nem volt reális.

A képhez hozzátartozik a bizalom kérdése is. Két friss szivárgás után különösen érzékeny téma, hogy egy kiberbiztonsági fókuszú modell köré milyen hozzáférési és adatkezelési fegyelem épül. A korlátozott hozzáférés egyszerre szólhat a modell „kettős felhasználású” (defenzív és offenzív) természetéről és arról, hogy a cég minimalizálni akarja a kockázatokat, amíg stabilizálja a belső folyamatait.

Mire figyelj

  1. Hozzáférési feltételek és ellenőrzések: mit jelent pontosan az „átvilágított szervezet”, milyen auditok és felhasználási korlátok járnak a Mythos mellé.
  2. Kormányzati együttműködés: ha az Anthropic valóban kormányzati felhasználásról egyeztet, az precedenst teremthet arra, hogyan kezelik a „kiberfegyver-szerű” AI-képességeket.
  3. Biztonsági gyakorlatok hitelessége: a két incidens után érdemes figyelni, milyen konkrét intézkedéseket kommunikál a cég (folyamatok, hozzáférés-kezelés, tárolási konfigurációk), és ezek mennyire csökkentik a „human error” típusú hibák esélyét.
  4. Piaci hatás: ha a legnagyobb szereplők „előnyt” kapnak a sebezhetőségek felderítésében, az átírhatja a tempót a patch-elésben (javítások kiadásában) és a biztonsági versenyben — kérdés, hogy ebből mennyi jut majd a szélesebb ökoszisztémának.