Den amerikanske føderale CIO-en Greg Barbaccia er forsiktig optimistisk når det gjelder AI-modellen Mythos fra selskapet Anthropic. Under en konferanse tirsdag uttalte han at myndighetene vurderer modellen med klare forventninger, samtidig som de erkjenner både dens muligheter og de betydelige usikkerhetene knyttet til hvordan den vil fungere i praksis.
Barbaccia har til nå kun hatt indirekte erfaring med Mythos gjennom evalueringer og benchmark-tester. Ingen føderale etater har tatt i bruk modellen ennå. Likevel understreker han at arbeidet med å integrere AI i cybersikkerhetsarbeidet er i full gang.
«Vi nærmer oss snart en tid der AI-basert forsvar vil kunne henge med i utviklingen,» sa Barbaccia til CyberScoop under Workday Federal Forum, arrangert av Scoop News Group. «Vi må komme dit hvor botene finner botene.»
Tidligere denne måneden sendte Barbaccia ut en e-post til departementene for å informere om at Office of Management and Budget nå legger til rette for en kontrollert utprøving av modellen i føderale etater. Han peker på at de samme egenskapene som gjør Mythos til et potensielt offensivt våpen, også kan være avgjørende for forsvaret.
Anthropic har tidligere opplyst at modellen har identifisert tusenvis av ukjente, kritiske sårbarheter i store operativsystemer og nettlesere under testing – mange av dem flere tiår gamle. Spørsmålet for føderale sikkerhetsteam er imidlertid ikke om disse evnene er reelle, men om de fungerer like godt i komplekse, beskyttede nettverk som de amerikanske myndighetene faktisk bruker.
Barbaccia var åpen om denne utfordringen. «Jeg tror modellen vil heve kompetansenivået og gjøre mindre erfarne cybersikkerhetseksperter mer effektive,» sa han. «Men vi vet fortsatt ikke hvor effektiv den vil være mot reelle trusselmiljøer – altså nettverk som er beskyttet av menneskelige forsvarere og har varslingssystemer på plass.» Evalueringene han har sett, er så langt basert på laboratorietester.
Denne distinksjonen er avgjørende for føderale sikkerhetsteam som vurderer hvordan de skal forholde seg til modellen. Å identifisere en sårbarhet og å utnytte den i et beskyttet miljø, er to svært forskjellige problemer. Barbaccia trakk frem CVE-katalogen, den amerikanske regjeringens oversikt over kjente programvarefeil, som et område der Mythos potensielt kan ha stor verdi. En menneskelig analytiker ville brukt betydelig tid på å gjennomgå slike lister, mens en modell som Mythos kan gjøre det langt raskere.
Men hastighet alene avgjør ikke om en sårbarhet utgjør en reell trussel. «Det er forskjell på noe som kan utnyttes i et 4-nanosekunders vindu under en BIOS-oppstart, og hva som faktisk blir utnyttet i den virkelige verden,» forklarte han. «Vi må forstå, akkurat som når vi sikrer hele trusseloverflaten, hvor de mest kritiske verdiene befinner seg. Og hvordan vi beskytter dem på en måte som er verdt innsatsen.»
Denne tilnærmingen er kjent for føderale nettverksforsvarere, som opererer under strenge ressursbegrensninger og må prioritere hvilke sårbarheter de skal håndtere først. Mythos kan potensielt endre hastigheten på denne prioriteringen – men bare hvis den viser seg å fungere i reelle trusselmiljøer.
Relaterte artikler
ArXiv innfører ett års utestengelse for forskere som leverer AI-generert sladder
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Ukjent teknologi i skyggen av Palantir og ICE
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Alvorlig Cisco-sårbarhet utnyttet av avanserte trusselaktører
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Mayo-klinikken tar i bruk AI for å overvåke samtaler på akuttmottak
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
Pentagon-topp: Avansert AI vil revolusjonere krigføring
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Hvit hus-ekspert: Identitetssikkerhet avgjørende i AI-æraen
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn utsatt for cyberangrep: Nitrogen krever løsepenger for stjålet data
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-poop-app selger brukeres avføring til datasett – hva skjer med sensitiv helsedata?
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...