Anthropic vyvinul výkonný AI model Claude Mythos Preview zaměřený na kybernetickou bezpečnost. Model je součástí iniciativy Project Glasswing a není běžně dostupný veřejnosti. Podle dostupných zpráv se však k preview verzi modelu měla dostat neautorizovaná skupina přes prostředí dodavatele třetí strany. Anthropic incident vyšetřuje a zatím uvádí, že nemá důkazy o zásahu do svých hlavních systémů.
Co je Claude Mythos Preview?
Claude Mythos Preview je nový model od společnosti Anthropic určený především pro pokročilé úlohy v oblasti kybernetické bezpečnosti. Podle materiálů Anthropicu je model navržen tak, aby pomáhal vyhledávat a analyzovat složité zranitelnosti v kritickém softwaru. Právě kvůli jeho schopnostem není zpřístupněn široké veřejnosti, ale pouze vybraným partnerům v rámci řízeného programu Project Glasswing.
Project Glasswing má sloužit k tomu, aby důvěryhodní partneři mohli s pomocí Claude Mythos Preview nacházet a opravovat bezpečnostní chyby dříve, než je zneužijí útočníci. Mezi partnery projektu Anthropic uvádí například AWS, Apple, Google, Microsoft, NVIDIA, Mozilla, Palo Alto Networks a další organizace. Není však vhodné zjednodušeně tvrdit, že šlo pouze o „12 firem s plným přístupem“, protože přesný rozsah přístupu jednotlivých partnerů se může lišit.
Proč není Mythos dostupný veřejnosti?
Claude Mythos Preview je označován jako velmi silný nástroj pro práci se zranitelnostmi v softwaru. To je užitečné pro obranu, protože bezpečnostním týmům může pomoci rychleji najít a opravit chyby. Zároveň jde ale o citlivou technologii, protože podobné schopnosti mohou být zneužitelné i útočníky.
Proto Anthropic zvolil omezený režim zpřístupnění. Model má být v rukou vybraných obranných týmů, výzkumníků a technologických partnerů, ne v běžném veřejném provozu.
Jak mělo dojít k neoprávněnému přístupu?
Podle dostupných mediálních zpráv se k Claude Mythos Preview měla dostat neautorizovaná skupina napojená na komunitu na Discordu. Nešlo však o jasně potvrzený průlom přímo do hlavní infrastruktury Anthropicu.
Přesnější je říct, že přístup měl podle dosavadních informací proběhnout přes prostředí dodavatele třetí strany. Ve zprávách se zmiňuje také dřívější únik dat související se společností Mercor, který měl pomoci odhadnout interní vzorce pojmenování nebo umístění modelových endpointů. Dalším faktorem měly být přístupové možnosti spojené s externím dodavatelem nebo testovacím prostředím.
Jinými slovy: nejde to shrnout tak jednoduše, že někdo pouze „uhádl URL adresu a byl uvnitř“. Podle dostupných zpráv šlo spíše o kombinaci více slabých míst v dodavatelském a testovacím prostředí.
Anthropic incident vyšetřuje
Anthropic potvrdil, že vyšetřuje hlášení o neoprávněném přístupu ke Claude Mythos Preview přes jedno z prostředí dodavatele třetí strany. Společnost zároveň podle dostupných vyjádření uvádí, že zatím nenašla důkazy o tom, že by incident zasáhl její hlavní interní systémy.
To je důležitý rozdíl. Incident se podle dostupných informací týká přístupu přes třetí stranu, nikoliv potvrzeného kompromitování celé infrastruktury Anthropicu.
Mythos a 271 zranitelností ve Firefoxu
Schopnosti Claude Mythos Preview dobře ukazuje případ Mozilly. Podle veřejných zpráv pomohl Mythos odhalit 271 zranitelností v prohlížeči Firefox. Mozilla následně uvedla, že tyto chyby opravila.
Tento případ ukazuje obě strany celé technologie. Na jedné straně může podobný model výrazně pomoci obráncům a bezpečnostním týmům. Na druhé straně vysvětluje, proč Anthropic přístup k modelu omezuje a proč by nekontrolované zpřístupnění mohlo představovat bezpečnostní riziko.
Tvrdí skupina, že má přístup i k dalším modelům?
Podle některých zpráv měla skupina tvrdit, že má přístup i k dalším neveřejným částem vývoje Anthropicu nebo k dalším připravovaným modelům. Tato tvrzení ale Anthropic nepotvrdil a veřejně pro ně zatím nejsou přesvědčivé důkazy.
Je proto potřeba je brát s rezervou. Jisté je pouze to, že Anthropic vyšetřuje hlášení o neoprávněném přístupu ke Claude Mythos Preview přes prostředí třetí strany.
Co tento incident znamená pro bezpečnost AI?
Případ Claude Mythos Preview ukazuje, že zabezpečení nejvýkonnějších AI modelů nezávisí jen na samotné společnosti, která model vyvíjí. Stejně důležitý je celý ekosystém okolo: externí dodavatelé, testovací prostředí, přístupové údaje, API klíče, účty partnerů a pravidla pro sdílení přístupu.
Pokud se dostupný popis incidentu potvrdí, nepůjde hlavně o příběh o prolomení hlavních systémů Anthropicu, ale o varování před slabinami v dodavatelském řetězci. Čím výkonnější AI modely budou vznikat, tím důležitější bude chránit nejen samotné modely, ale i všechny přístupové cesty, přes které se k nim mohou partneři a testeři dostat.
Závěr
Claude Mythos Preview je jedním z nejzajímavějších příkladů toho, kam se posouvá využití AI v kybernetické bezpečnosti. Umí pomáhat s odhalováním zranitelností v kritickém softwaru, ale právě proto musí být jeho použití pečlivě řízené.
Z dosavadních informací vyplývá, že Anthropic vyšetřuje neoprávněný přístup přes prostředí třetí strany, nikoliv potvrzený zásah do svých hlavních systémů. Celý případ je připomínkou, že u pokročilých AI modelů bude bezpečnost dodavatelů, partnerů a testovacích prostředí stejně důležitá jako bezpečnost samotného modelu.
Vladimír Matula se v digitálním marketingu pohybuje od roku 2008. Svou expertízu staví na pevných základech z předních českých agentur, kde se specializoval na tvorbu webů, ecommerce, SEO a webovou analytiku.
V roce 2012 založil marketingovou agenturu DIVERSITY PROMOTION s.r.o., kde nabízí online marketingové služby, tvorbu webů na WordPress, tvorbu eshopů na platformě Shoptet, Web design a AI marketing.
Generativní AI integruje do klíčových procesů – od hloubkové analýzy dat, SEO a konverzního copywritingu podle ověřených vzorců až po automatizaci rutinních úkolů, které přináší úsporu času a vyšší kvalitu výstupů nejen jemu, ale i jeho klientům.
Spravovat Souhlas
Abychom poskytli co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím o zařízení, technologie jako jsou soubory cookies. Souhlas s těmito technologiemi nám umožní zpracovávat údaje, jako je chování při procházení nebo jedinečná ID na tomto webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce.
Funkční
Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Technické uložení nebo přístup, který se používá výhradně pro statistické účely.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
