De cyberbeveiligingsindustrie worstelt momenteel met de opkomst van Mythos, een krachtig AI-model ontwikkeld door Anthropic dat een griezelig vermogen bezit om softwarekwetsbaarheden te identificeren. Hoewel het bestaan ervan per ongeluk werd gelekt vanwege een onbeveiligde webpagina, zijn de implicaties van een dergelijk hulpmiddel diepgaand, wat aanleiding geeft tot een debat over de vraag of AI een catastrofale dreiging vertegenwoordigt of een essentieel nieuw schild voor digitale verdediging.
De ontdekking van een digitale “hoofdsleutel”
Mythos was niet bedoeld voor publieke consumptie. Volgens Anthropic ontwikkelde het model een toevallige maar zeer geavanceerde mogelijkheid: het vermogen om kritieke fouten in vrijwel elke software te ontdekken, waardoor gebruikers mogelijk beveiligingsprotocollen kunnen omzeilen.
De omvang van zijn mogelijkheden is aanzienlijk. Anthropic meldt dat Mythos duizenden zeer ernstige en kritieke kwetsbaarheden in verschillende besturingssystemen heeft geïdentificeerd. Dit niveau van efficiëntie roept een fundamentele vraag op voor het digitale tijdperk: Wat gebeurt er als een machine in enkele seconden kan bereiken wat een ervaren menselijke hacker maanden zou doen?
Gecontroleerde toegang versus ongecontroleerde risico’s
Om het risico op misbruik te beperken heeft Anthropic een strategie van gecontroleerde blootstelling geïmplementeerd via Project Glasswing. In plaats van de tool aan het publiek vrij te geven, hebben ze toegang verleend aan een selecte groep marktleiders, waaronder:
– Techgiganten: Apple, Google, Microsoft en NVIDIA
– Cloudproviders: Amazon Web Services (AWS)
– Financiële instellingen: JPMorganChase
Het doel is om deze organisaties in staat te stellen Mythos te gebruiken om hun eigen systemen te ‘stresstesten’, waarbij bugs worden gevonden en gerepareerd voordat kwaadwillende actoren deze kunnen misbruiken.
De veiligheid van deze gecontroleerde uitrol is echter al getest. Ongeautoriseerde gebruikers op privéforums slaagden erin toegang te krijgen tot de proef door ‘onderbouwde gissingen’ te doen over de hostinglocatie van het model – een tekortkoming in de beveiliging die velen ironisch vinden gezien het doel van de tool.
Is de dreiging overdreven?
Ondanks de alarmerende krantenkoppen zijn experts verdeeld over de vraag of Mythos een onmiddellijke ‘beschavingsdreiging’ vormt.
Voorzichtigheid is geboden
Het AI Security Institute (AISI) merkt op dat hoewel Mythos een aanzienlijke stap voorwaarts is ten opzichte van eerdere modellen, het huidige succes ervan grotendeels beperkt is tot het aanvallen van “kleine, zwak verdedigde en kwetsbare bedrijfssystemen.” Er is nog geen bewijs dat het zeer veilige, moderne netwerken kan doorbreken.
Een pleidooi voor pragmatisme
Beveiligingsonderzoekers, zoals Bobby Holley van Firefox, suggereren dat Mythos weliswaar ongelooflijk efficiënt is, maar niet noodzakelijkerwijs ‘slimmer’ dan mensen. Tijdens tests identificeerde Mythos 271 kwetsbaarheden in de Firefox-browser, maar geen enkele was zo complex dat een menselijke elite-onderzoeker ze niet had kunnen vinden.
De echte verschuiving zit niet in het type van de gevonden bugs, maar in de snelheid en schaal :
– Efficiëntie: AI is meedogenloos en grondig en ontdekt fouten die mensen eenvoudigweg over het hoofd zien vanwege vermoeidheid of tijdgebrek.
– Het voordeel van de verdediger: Als softwareontwikkelaars Mythos gebruiken om hun eigen code te controleren voordat deze wordt vrijgegeven, kunnen ze hun software effectief ‘opschonen’ van kwetsbaarheden, wat mogelijk kan leiden tot een wereld waarin alle bekende defecten worden geïdentificeerd en gepatcht.
Het afsluitende venster van kansen
De opkomst van Mythos benadrukt een verschuivend paradigma op het gebied van cyberbeveiliging. We betreden een tijdperk van geautomatiseerde oorlogsvoering, waarin zowel aanvallers als verdedigers AI gebruiken om hun behendigheid te vergroten.
Hoewel de tool momenteel verdedigers meer helpt dan aanvallers, verandert het landschap snel. Deskundigen waarschuwen dat soortgelijke mogelijkheden binnen de komende achttien maanden waarschijnlijk in handen zullen vallen van kwaadwillende tegenstanders.
“Het venster om dit voor te zijn staat open, maar het gaat snel dicht.” — Kevin Curran, Universiteit van Ulster
Conclusie
Mythos dient als een proof of concept met hoge inzet: AI versnelt snel de cyclus van het ontdekken van kwetsbaarheden. Hoewel het een krachtige nieuwe manier biedt om software te beveiligen, biedt het tegelijkertijd een blauwdruk voor veel snellere, efficiëntere cyberaanvallen.
