Der Bundes-CIO Greg Barbaccia hat sich am Dienstag zurückhaltend zum KI-Modell Mythos von Anthropic geäußert. Die Regierung prüfe das Modell mit gemischten Erwartungen: Einerseits könnte es die Cybersicherheit der Bundesbehörden stärken, andererseits bestehen noch erhebliche Unsicherheiten hinsichtlich seiner Leistungsfähigkeit unter realen Bedingungen.
Barbaccia betonte, dass seine direkte Erfahrung mit Mythos bisher auf Bewertungen und Benchmark-Tests beschränkt sei. Keine Bundesbehörde habe das Modell bisher eingesetzt. Zwar koordiniert das Office of the National Cyber Director die Vorgehensweise der Regierung, doch seine Einschätzung zur Zukunft der KI-gestützten Cybersicherheit war deutlich:
"Wir werden bald in eine Welt eintreten, in der KI-Verteidigungssysteme mit den Angreifern mithalten können. Wir müssen erreichen, dass die Bots die Bots finden."
Anfang des Monats hatte Barbaccia die Kabinettsbehörden per E-Mail darüber informiert, dass das Office of Management and Budget die Grundlagen für eine kontrollierte Einführung des Modells bei Bundesbehörden legt. Seine Argumentation spiegelt die Überzeugung wider, dass genau die Fähigkeiten, die Mythos zu einer potenziellen Bedrohung machen, es gleichzeitig zu einem wertvollen Verteidigungsinstrument machen.
Anthropic zufolge identifizierte das Modell während Tests Tausende bisher unbekannte, hochkritische Schwachstellen in gängigen Betriebssystemen und Webbrowsern – viele davon seit Jahrzehnten unentdeckt. Für Bundesbehörden stellt sich nicht die Frage, ob diese Fähigkeiten real sind, sondern ob sie sich von kontrollierten Laborsettings auf die komplexen, geschützten Netzwerke der Regierung übertragen lassen. Barbaccia räumte diese Lücke offen ein:
"Ich denke, das Modell wird die Effizienz von Cybersecurity-Experten steigern – auch von unerfahrenen Angreifern. Aber es ist noch unklar, wie wirksam es unter realen Bedingungen ist, also in einem Netzwerk, das von menschlichen Verteidigern überwacht wird und über Warnsysteme verfügt."
Diese Unterscheidung ist entscheidend für Bundesbehörden, die abwägen müssen, wie sie das Modell bewerten. Die Identifizierung einer Schwachstelle und deren erfolgreiche Ausnutzung in einer geschützten Umgebung sind zwei verschiedene Probleme. Barbaccia verwies auf den CVE-Katalog, die offizielle Liste bekannter Software-Schwachstellen der Regierung, als Bereich, in dem die Geschwindigkeit von Mythos praktischen Nutzen haben könnte. Ein menschlicher Analyst würde für die Durchsicht des Katalogs beträchtliche Zeit benötigen – ein Modell wie Mythos könnte dies deutlich schneller erledigen. Doch Geschwindigkeit allein bestimmt nicht, ob eine Schwachstelle tatsächlich eine Bedrohung darstellt.
"Es gibt einen Unterschied zwischen einer Schwachstelle, die in einem 4-Nanosekunden-Fenster während des BIOS-Starts ausnutzbar ist, und der Frage, ob sie in der realen Welt tatsächlich ausgenutzt wird", erklärte er. "Wir müssen verstehen, wie bei der Absicherung der gesamten Bedrohungsfläche die wichtigsten Systeme geschützt werden können – und ob der Aufwand für die Schutzmaßnahmen im Verhältnis zum Wert der zu schützenden Daten steht."
Diese Überlegungen sind Bundesbehörden vertraut, die unter Ressourcenknappheit operieren und priorisieren müssen, welche Schwachstellen zuerst behoben werden. Mythos könnte hier die Geschwindigkeit der Priorisierung verändern – doch die Herausforderung bleibt, die Technologie verantwortungsvoll und zielgerichtet einzusetzen.
Verwandte Artikel
arXiv verhängt einjähriges Einreichungsverbot bei KI-generierten Inhalten
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Hinter den Kulissen: Neue Musik, ein Absturz und KI-Probleme der Entwickler
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Cisco warnt vor kritischer Zero-Day-Lücke in SD-WAN-Systemen
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Mayo Clinic setzt auf KI-gestützte Sprachaufnahmen in Notaufnahmen
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
KI in der Kriegsführung: Pentagon-Experte warnt vor revolutionären Auswirkungen
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersicherheit: Warum Identitätsmanagement im KI-Zeitalter entscheidend ist
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn bestätigt Cyberangriff auf nordamerikanische Fabriken – Ransomware-Gruppe Nitrogen fordert Lösegeld
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
KI-App sammelt 150.000 Stuhlproben – jetzt soll die Datenbank verkauft werden
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...