Federala CIO:n avvaktande inför Anthropics AI-modell Mythos trots planerad lansering

Federala myndigheter granskar AI-modellen Mythos med försiktig optimism

Den federala Chief Information Officer (CIO) Greg Barbaccia har uttalat sig om regeringens inställning till Anthropics AI-modell Mythos. Enligt honom närmar sig myndigheterna modellen med måttliga förväntningar, trots dess lovande potential att stärka federala cybersäkerhetssystem.

Barbaccia, som har begränsad direkt erfarenhet av Mythos – endast genom utvärderingar och benchmarkingstester – understryker att ingen federal myndighet ännu har implementerat modellen. Han betonar dock att Office of the National Cyber Director samordnar regeringens strategi för AI inom cybersäkerhet.

AI som både hot och försvar

Barbaccia framhåller att de egenskaper som gör Mythos potentiellt farligt som offensivt verktyg också kan vara dess största styrka som defensivt skydd. Under tester har modellen identifierat tusentals tidigare okända, högallvarliga sårbarheter i stora operativsystem och webbläsare – många av dem decennier gamla.

Den avgörande frågan för federala säkerhetsteam är dock om dessa förmågor kan överföras från kontrollerade laboratoriemiljöer till de komplexa och välförsvarade nätverk som myndigheterna använder. Barbaccia är tydlig med att det återstår osäkerheter:

"Jag tror att modellen kommer att höja nivån för både nybörjare och erfarna cybersäkerhetsexperter. Men det är fortfarande oklart hur effektiv den kommer att vara i verkliga förhållanden – i nätverk som försvaras av människor, med varningar och andra skyddssystem."

Han påpekar att skillnaden mellan att upptäcka en sårbarhet och att utnyttja den i en skyddad miljö är avgörande. Barbaccia jämför med CVE-katalogen, där mänskliga analytiker tar lång tid att gå igenom. En modell som Mythos skulle kunna göra detta betydligt snabbare – men hastighet garanterar inte att en sårbarhet utgör ett verkligt hot.

Resurser och prioriteringar avgörande

Federala säkerhetsteam arbetar under strikta resursbegränsningar och måste prioritera vilka sårbarheter som ska åtgärdas först. Mythos skulle kunna förändra denna process genom att snabba upp identifieringen, men dess verkliga värde avgörs av hur väl det integreras i befintliga säkerhetsrutiner.

Barbaccia understryker vikten av att förstå var de mest kritiska tillgångarna finns och hur man bäst skyddar dem:

"Det handlar om att avgöra vad som är värt att skydda. En sårbarhet som kan utnyttjas under en 4-nanosekunders fönster under en BIOS-start är inte nödvändigtvis ett verkligt hot. Vi måste fokusera på det som verkligen betyder något."

Denna typ av strategiskt tänkande är central för federala nätverksskyddare, som ständigt måste balansera mellan snabb identifiering och effektivt skydd.

Framtida utmaningar och möjligheter

Barbaccia meddelade tidigare i månaden att Office of Management and Budget har påbörjat förberedelser för en kontrollerad lansering av Mythos till federala myndigheter. Detta sker samtidigt som regeringen utforskar hur AI kan stärka nationens cybersäkerhet – utan att förlora kontrollen över dess potentiella risker.

Frågan kvarstår: Kommer Mythos att leva upp till förväntningarna när det gäller att skydda komplexa, verkliga nätverksmiljöer? Enligt Barbaccia är svaret ännu oklart, men regeringens försiktiga inställning visar på en medvetenhet om både möjligheter och utmaningar.