De geavanceerde kunstmatige-intelligentietools van Anthropic voor het vinden van softwarekwetsbaarheden hebben veel media-aandacht getrokken. In maart meldden Mozilla-onderzoekers dat Claude Opus 4.6 van Anthropic in twee weken tijd 14 zeer ernstige bugs en 22 CVE’s identificeerde, waarmee de prestaties van menselijke onderzoekers bij Mozilla werden overtroffen.
Met behulp van een proefversie van Anthropic’s Mythos-model beweerden beveiligingsonderzoekers van Calif, een in Palo Alto gevestigd cyberbeveiligingsbedrijf, de beveiligingsmaatregelen van Apple’s macOS te hebben omzeild. Ze verklaarden dat een ‘privilege-escalatie-exploit’, gecombineerd met een andere aanvalsvector, kwaadwillende actoren in staat zou kunnen stellen controle te krijgen over een doelapparaat.
De onderzoekers legden uit dat ze software ontwikkelden die twee afzonderlijke bugs aan elkaar koppelde en verschillende technieken gebruikten om “het geheugen van de Mac te corrumperen” om toegang te krijgen tot beperkte componenten. De ontdekking van de exploit duurde vijf dagen, wat een gezamenlijke inspanning van menselijke hackers en het Mythos-model vereiste.
Apple beoordeelt momenteel het rapport van de onderzoekers om de bevindingen te verifiëren. “Veiligheid is onze topprioriteit en we nemen meldingen van potentiële kwetsbaarheden zeer serieus”, vertelde een woordvoerder van Apple aan The Wall Street Journal.
Anthropic lanceerde Mythos, aanvankelijk bekend als Project Glasswing, in april met toegang beperkt tot ongeveer 40 geselecteerde technologiebedrijven. Het bedrijf meldde dat Mythos duizenden zeer ernstige kwetsbaarheden in verschillende besturingssystemen en webbrowsers heeft geïdentificeerd en waarschuwt voor ernstige gevolgen als dergelijke mogelijkheden in handen vallen van kwaadwillende personen.
Michał Zalewski, een beveiligingsonderzoeker van Google, evalueerde de bevindingen van Calif, zij het zonder directe betrokkenheid bij het onderzoek. Hij merkte op dat hoewel sommige hype rond Mythos misschien ‘overdreven’ is, het nog steeds potentieel biedt voor aanzienlijk onderzoek naar kwetsbaarheden en code-audits.
Te midden van de discussies over de mogelijkheden van Mythos zijn er zorgen ontstaan over de potentiële gevaren van het model als het openbaar beschikbaar wordt gemaakt. Gary McGraw, een voormalige cybersecurity-manager bij Synopsys, mengde zich in het gesprek en beweerde dat de technologie niet inherent te gevaarlijk is om vrij te geven. Hij benadrukte de noodzaak om de daadwerkelijke uitdagingen op het gebied van cyberbeveiliging aan te pakken in plaats van de toegang tot nuttige hulpmiddelen te beperken.
