Anthropic ha provocato un’ondata di panico in tutto il settore la scorsa settimana quando ha annunciato Claude Mythos Preview, un modello di intelligenza artificiale con una particolare abilità nell’individuare vulnerabilità di alto livello nella cybersicurezza.
Tra i suoi risultati, il modello ha scoperto una falla – nel frattempo corretta – in OpenBSD, un sistema operativo noto per la sua sicurezza, che secondo Anthropic sarebbe rimasta inosservata per 27 anni.
Secondo l’azienda, ha inoltre individuato “migliaia di ulteriori vulnerabilità ad alta e criticità elevata” sia in programmi open source sia in software proprietari.
Gli addetti ai lavori e altri esperti tecnologici si sono quindi allarmati per il potenziale di questo modello linguistico avanzato di sconvolgere il panorama della cybersicurezza, ma un veterano del settore con 25 anni di esperienza si mostra scettico. David Lindner, chief information security officer di Contrast Security, ha dichiarato a Fortune che, sebbene Mythos possa aiutare a individuare moltissimi problemi, questo non è necessariamente l’aspetto più rilevante.
“Non abbiamo mai avuto difficoltà a trovare vulnerabilità. Le individuiamo ogni giorno. In realtà ne abbiamo un accumulo che semplicemente non correggiamo”, ha affermato. “Quindi non credo che questo cambi davvero le cose”.
Falle più facili da trovare che da correggere
Lindner ha sottolineato che le falle sono più facili da trovare che da correggere, osservando che nel post del blog di Anthropic che annunciava Mythos si afferma che oltre il 99% delle vulnerabilità individuate dal modello non è stato ancora corretto.
Più nello specifico, ha aggiunto, Mythos contribuisce poco a risolvere uno dei problemi più grandi per gli esperti di cybersicurezza: l’ingegneria sociale. Gli hacker possono ancora utilizzare strumenti esistenti e l’intelligenza artificiale per impersonare il capo di un dipendente o un tecnico IT e ottenere accesso ai sistemi.
Anthropic ha dichiarato che Mythos è talmente potente da non essere rilasciato pubblicamente: è reso disponibile solo a un gruppo di 40 organizzazioni, tra cui aziende tecnologiche come Microsoft, Apple e Google, oltre ad altre realtà come la società di cybersicurezza CrowdStrike e la banca JPMorgan Chase, affinché possano utilizzare la tecnologia per migliorare le proprie infrastrutture di sicurezza nell’ambito di un’iniziativa chiamata Project Glasswing.
Poiché molte organizzazioni hanno accesso al modello, Lindner prevede anche che non rimarrà segreto a lungo. “Anche se, tra virgolette, non lo rilasciano, la Cina ne avrà una versione entro cinque o sei mesi, e ci sarà una versione open source entro uno o due anni”, ha detto.
Frequenti interruzioni del servizio
Per inciso, Fortune è stata la prima a riportare lo sviluppo di Mythos, grazie a una falla di sicurezza per cui l’azienda aveva lasciato dettagli sul modello linguistico in un database accessibile pubblicamente.
Nel frattempo, il venture capitalist Marc Andreessen ha sollevato dubbi sul fatto che Anthropic stia davvero trattenendo il rilascio di Mythos per motivi di sicurezza o piuttosto perché non dispone della capacità computazionale necessaria per supportarne una diffusione su larga scala. Secondo quanto riportato dal Wall Street Journal nel fine settimana, Anthropic ha recentemente affrontato frequenti interruzioni del servizio e ha limitato le risorse di calcolo disponibili per gli utenti nelle ore di punta.
Altri esperti di cybersicurezza, tuttavia, restano vigili riguardo a Mythos e al suo potenziale di trasformare il settore. Zach Lewis, chief information officer e chief information security officer presso la University of Health Sciences and Pharmacy di St. Louis, ha dichiarato a Fortune di temere che Mythos renderà ancora più facile per attori malevoli – anche con scarsa esperienza di programmazione – sfruttare i sistemi.
“Gli attori delle minacce non devono nemmeno conoscere – né avere una formazione in – programmazione o progettazione software per capire come funzionano questi sistemi. Possono distribuire un agente che lo faccia per loro”, ha affermato.
Parte della soluzione per le organizzazioni potrebbe consistere nel rafforzare le strategie già in uso che riescono a sventare centinaia, se non migliaia, di tentativi di sfruttamento ogni giorno, secondo Lewis. Ciò include correggere le vulnerabilità esistenti e assicurarsi che i permessi concessi ai dipendenti siano strettamente limitati, in modo da non poter essere sfruttati. “Bisogna mettere tutto questo sotto controllo”, ha concluso.
L’articolo originale è disponibile su Fortune.com.
