Føderal CIO udviser forsigtighed overfor AI-modellen Mythos trods planlagt udbredelse

Den amerikanske føderale Chief Information Officer (CIO), Greg Barbaccia, udtrykker en forsigtig optimisme overfor Anthropics nye AI-model, Mythos. Ifølge ham er regeringens tilgang præget af realistiske forventninger, da modellen både kan styrke cyberforsvaret og samtidig indebære betydelige usikkerheder.

Barbaccia har endnu ikke haft omfattende erfaring med Mythos ud over evalueringer og benchmark-tests. Ingen føderale myndigheder har taget systemet i brug endnu. På trods af dette koordinerer Office of the National Cyber Director regeringens strategi for AI-baseret cybersikkerhed.

AI som forsvarsværktøj og trussel

Barbaccia understreger, at AI-teknologi hurtigt kan udvikle sig til et afgørende forsvarsværktøj mod cyberangreb. "Vi nærmer os snart en verden, hvor AI-baseret forsvar kan indhente cyberangribere," udtalte han til CyberScoop under Workday Federal Forum. "Vi må nå et punkt, hvor automatiserede systemer opdager og neutraliserer andre automatiserede trusler."

Tidligere på måneden sendte Barbaccia en vejledning til kabinetsmyndighederne, hvor han meddelte, at Office of Management and Budget er i gang med at forberede en kontrolleret udbredelse af Mythos til føderale myndigheder. Han pointerer, at de samme egenskaber, der gør Mythos potentielt farlig som angrebsværktøj, også kan gøre den værdifuld som forsvarsmekanisme.

Mythos’ evner og begrænsninger

Anthropic har oplyst, at Mythos under test identificerede tusindvis af ukendte, højrisikable sårbarheder i store styresystemer og webbrowsere – mange af dem eksisterende i årtier. Spørgsmålet er imidlertid, om disse evner kan overføres fra kontrollerede laboratorieforhold til de komplekse og beskyttede netværk, som føderale myndigheder anvender.

Barbaccia er ærlig omkring denne udfordring. "Jeg tror, Mythos kan hæve kompetenceniveauet og gøre mindre erfarne cyberangribere mere effektive," sagde han. "Men vi ved endnu ikke, hvor effektivt det vil være i virkelige scenarier – altså i netværk, der er beskyttet af menneskelige forsvarskræfter og avancerede advarselssystemer." De evalueringer, han har set, stammer primært fra laboratoriemiljøer.

Forskellen mellem teori og praksis

Denne sondring er afgørende for føderale sikkerhedsteams, der overvejer Mythos’ anvendelighed. At identificere en sårbarhed er ikke det samme som at udnytte den i et beskyttet miljø. Barbaccia henviser til CVE-kataloget, regeringens løbende liste over kendte softwarefejl, som et område, hvor Mythos’ hastighed kan have praktisk værdi. En menneskelig analytiker ville bruge betydelig tid på at gennemgå listen, mens en AI som Mythos kunne gøre det langt hurtigere.

Men hastighed alene afgør ikke, om en sårbarhed udgør en reel trussel. "Der er stor forskel på, om en sårbarhed kan udnyttes i et 4-nanosekundsvindue under en BIOS-opstart, og om den reelt udnyttes i den virkelige verden," forklarer han. "Vi skal forstå, ligesom når vi sikrer vores trusselsoverflade, hvor de mest kritiske aktiver befinder sig – og hvordan vi bedst beskytter dem."

Denne tilgang er velkendt for føderale netværksforsvarere, der arbejder under stramme ressourcemæssige begrænsninger og må prioritere, hvilke sårbarheder der skal tackles først. Mythos kan potentielt ændre hastigheden på denne prioriteringsproces, men dens reelle værdi afhænger af, hvordan den præsterer i praksis.