Anthropic обещает победу над взломами, но скрывает главный недостаток своего продукта Mythos
Громкие заявления о прорывах в кибербезопасности всё чаще звучат на фоне бума искусственного интеллекта (ИИ), но далеко не все специалисты готовы принимать такие оценки на веру. Новый спор разгорелся вокруг свежей разработки Anthropic, которую компания представила как серьёзный шаг вперёд в поиске уязвимостей.
Британский аналитик вредоносного ПО Маркус Хатчинс, получивший известность после остановки эпидемии WannaCry, публично усомнился в заявлениях Anthropic о возможностях модели Mythos. Поводом стала презентация, где компания утверждает, что система способна находить и эксплуатировать уязвимости лучше большинства людей.
Разработчик также сообщил, что модель уже обнаружила тысячи ранее неизвестных проблем в операционных системах, браузерах и популярном программном обеспечении. Доступ к Mythos пока ограничен — её тестируют крупные технологические и кибербезопасные организации в рамках проекта Glasswing.
Хатчинс разобрал один из приведённых примеров — уязвимость в OpenBSD, которую система якобы нашла менее чем за 20 тысяч долларов вычислительных затрат. По его оценке, речь идёт о разыменовании нулевого указателя — типе ошибки, который обычно приводит к сбою, а не к захвату контроля над системой. Такая находка, по мнению специалиста, не выглядит серьёзным достижением.
Отдельные вопросы вызвала и заявленная стоимость. Хатчинс предположил, что цифра отражает цену токенов API, а не реальные расходы на инфраструктуру. На фоне активного финансирования со стороны венчурных фондов стоимость вычислений может быть искусственно занижена. При пересчёте на реальные затраты сумма способна оказаться значительно выше.
Ключевую проблему специалист видит не в технологиях, а в экономике. Уязвимости остаются неисправленными не из-за нехватки инструментов, а из-за отсутствия мотивации и оплаты за их поиск. Даже при использовании ИИ аудит кода требует вложений, и без изменения модели финансирования ситуация не изменится.
Хатчинс также отметил, что злоумышленники чаще используют социальную инженерию и фишинг, чем сложные технические атаки. По этой причине новые инструменты поиска уязвимостей не меняют фундаментально расстановку сил в кибербезопасности.
Ранее аналитик уже критиковал громкие заявления о роли ИИ в индустрии. Осенью он оспорил исследование MIT, где утверждалось, что 80 процентов атак с использованием программ-вымогателей связаны с искусственным интеллектом. Позже этот материал удалили с сайта университета.