Anthropic Mythos pasiekė bankininkystę pirmiausia. Kritinė infrastruktūra liko be apsaugos
·
Anthropic prieš porą savaičių paskelbė vidinį projektą Glasswing. Jo metu DI modelis Mythos rado kibernetinio saugumo pažeidžiamumus visose populiariausiose naršyklėse. Pirmieji prieigą gauna finansinės įmonės. O kritinę infrastruktūrą valdantys operatoriai, tarp jų vandens, elektros ir pramonės kontrolės kompanijos, lieka už durų.
Jie nenori tylėti. Kompanijos, tokios kaip American Water, jau aktyviai lobistauja JAV Nacionalinio kibernetinio direktoriaus biuro lygmenyje. Jų žinia paprasta. Kritinė infrastruktūra yra labiausiai pažeidžiama. Tačiau finansinės įmonės pirmosios gauna naujausias DI gynybos priemones.
Kas yra Mythos ir kodėl jis svarbus
Mythos yra Anthropic specializuotas modelis kibernetinio saugumo testavimui. Skirtingai nuo bendro Claude, jis treniruotas ieškoti pažeidžiamumų programinėje įrangoje, analizuoti exploit kodą ir prognozuoti atakų vektorius.
Per Project Glasswing testavimo etapą Mythos rado realių pažeidžiamumų visuose pagrindiniuose naršyklės sluoksniuose. Chrome, Edge, Safari, Firefox. Visi gavo savo dalį atrastų zero-day spragu, kurias dabar tvarko gamintojai.
Tai nėra teorinis tyrimas. Tai praktiškai ginklas, kuris gali ginti, bet tuo pačiu ir atakuoti. Todėl Anthropic pasirinko ribotą prieigą. Pradžiai – tik patikimi finansų sektoriaus partneriai.
Kodėl finansininkai pirmieji
Atsakymas yra praktinis. Finansų sektorius turi tris dalykus, kurių neturi kiti.
Pirma, biudžetus. Bankai gali sumokėti milijonus už specializuotus DI sprendimus. Vandens kompanija, aptarnaujanti regioną, paprastai negali.
Antra, reguliacinę bazę. JAV ir ES finansų sektorius jau ilgai veikia griežtos reguliacijos sąlygomis. Anthropic supranta, kaip apsiriboti.
Trečia, kibernetinį brandumą. Bankų security komandos jau dirba su pažangiausiais įrankiais. Mythos yra sekantis lygis, ne įvadas. Anthropic ir FIS partnerystė bankininkystei jau parodė, kaip greitai sektorius ima diegti naujus DI sprendimus.
Kodėl tai problema kritinei infrastruktūrai
Kritinė infrastruktūra yra didžiausias kibernetinis taikinys 2026 metais. Visos žvalgybos agentūros tai pripažįsta. Vandens valymo įrenginių, elektros tinklų ir gamtinių dujų sistemų atakos yra pagrindinis ginklas valstybinių aktorių arsenale.
Bet šios sistemos paprastai veikia su pasenusia operacine technologija (OT). Daugelis SCADA sistemų buvo įdiegtos prieš 15-20 metų. Jos naudoja senus protokolus, neatnaujintus operacinius sistemas, ir dažnai neturi modernių saugumo įrankių.
Be Mythos prieigos šie operatoriai negali pasinaudoti naujausiomis DI gynybos priemonėmis. Tuo pačiu užpuolikai, kurie investuoja į savo DI įrankius, prieigos prie panašios technologijos turi.
Anthropic dilema
Iš Anthropic perspektyvos sprendimas suprantamas. Atvėrus Mythos plačiau, kyla dvejos rizikos.
Pirma, įrankis gali patekti pas neteisingus žmones. Mythos kode pajėgų pažeidžiamumams ieškoti tampa pavojingu, jei jis pakliūva į priešininko rankas.
Antra, pasekmių valdymas. Jei kritinės infrastruktūros operatorius pasinaudos Mythos ir kažką sugadins, atsakomybės klausimas tampa miglotas. Anthropic nenori būti pirmas precedentas.
Tačiau šios dilemos sprendimas negali būti vien tik privatus. Tai yra valstybės politikos klausimas. Microsoft, Google ir xAI atidavė savo modelius vyriausybei NIST patikrinti. Galimas variantas, kad panašus mechanizmas reikalingas ir specializuotiems modeliams kaip Mythos.
Ką tai reiškia Lietuvai
Lietuva turi savą kritinę infrastruktūrą. Energetika, vandens tinklai, geležinkeliai. Ignalina dar veikia kaip paveldas. Naujos „Litgrid” linijos jungia mus su Vakarais.
Visos šios sistemos turi savo kibernetinio saugumo iššūkius. Ir nė viena iš jų neturi prieigos prie naujausių DI gynybos įrankių, kurie kuriami JAV.
Praktinis klausimas LT politikos formuotojams. Ar verta investuoti į savo DI saugumo platformas? O gal geriau derėtis su europiniais sprendimais? Atsakymo dar nėra. Bet klausimas keliamas vis dažniau.
Kas seka toliau
Anthropic per ateinančius mėnesius turės atsakyti į kelis klausimus. Ar Mythos plėsis į kitus sektorius? Kokia bus prieigos kaina? Ar valstybės gaus tiesioginę prieigą savo kritinei infrastruktūrai?
JAV Nacionalinio kibernetinio direktoriaus biuras jau dirba su Anthropic. Tikėtina, kad per kelis ketvirčius bus paskelbtas oficialus sprendimas, kaip kritinė infrastruktūra galės naudoti tokias technologijas.
Iki to laiko visi kiti operatoriai, taip pat ir Lietuvoje, turi sekti, kas vyksta. Nes ši istorija parodo paprastą tiesą. Pažangiausios DI gynybos technologijos jau yra. Bet jos pasiekiamos tik tiems, kas pirma sėdi prie stalo.
