Антропический модель кибербезопасности уровня оружия Mythos подверглась несанкционированному доступу: как им это удалось?

Bloomberg 報道，一個私人論壇群組疑似在 Anthropic 旗下資安模型 Mythos 公開宣布當天即突破管制，透過第三方承包商的存取權限，成功進入系統使用該模型，引發外界對頂尖 AI 模型安全治理的擔憂。

(Anthropic 推推出全球資安計画 Glasswing, почему новая модель Mythos не будет открыта для широкой публики? )

В первый же день запуска Mythos подверглась несанкционированному доступу

7 апреля Anthropic объявила о новом сетевом AI-моделе для кибербезопасности Claude Mythos, однако, согласно сообщениям, некая частная онлайн-группа форума, чья личность до сих пор не раскрыта, уже тихо получила доступ к этой модели.

По имеющимся сведениям, эти люди не взламывали систему с помощью традиционных хакерских методов, а использовали понимание формата URL прошлых моделей Anthropic, что позволило логично предположить онлайн-местоположение Mythos в системе. Ключевая брешь была в одном сотруднике, работающем у Anthropic в составе стороннего подрядчика. У него изначально была законная авторизация на просмотр AI-моделей Anthropic, а участники группы проникли в систему через этот соответствующий требованиям канал.

Позже эта группа предоставила Bloomberg скриншоты и демонстрацию действий в реальном времени в качестве доказательства, а также сообщила, что продолжает использовать Mythos до настоящего времени, но подчеркнула, что их цель сводилась лишь к «потехе с новой моделью» и они не собираются совершать какие-либо разрушительные действия, потому что не хотят быть обнаруженными.

Что такое Mythos? Почему это вызывает беспокойство у внешних?

Claude Mythos — это AI-модель Anthropic, созданная специально для корпоративной кибербезопасности и командой определяемая как инструмент «слишком мощный, чтобы публиковать его в открытом доступе». Ее ключевая способность — проактивно выявлять уязвимости безопасности в цифровых системах, помогая компаниям завершать исправления до того, как они подвергнутся атакам.

Однако и у этой «меч-обороны» может быть «двойное лезвие». Anthropic признаёт: если Mythos попадет в руки злоумышленников, его возможности также могут быть использованы для атаки. Поэтому компания в рамках программы кибербезопасности под названием «Project Glasswing» открывает Mythos только ограниченному числу крупных организаций или технологических компаний, прошедших строгую проверку.

Ключевая предпосылка этой закрытой модели контроля заключается в том, что доверенные партнеры могут гарантировать, что их доступ друг к другу не будет утекать.

(Anthropic Mythos вызывает опасения у надзорных органов, вице-канцлер, а также руководство крупнейшего банка созывают экстренное совещание)

Ответ Anthropic: идет расследование, на нас это не повлияло

В своем ответе Anthropic заявил следующее: «Мы расследуем сообщение, в котором утверждается, что через среду стороннего поставщика был получен несанкционированный доступ к Claude Mythos Preview». Компания подчеркнула, что на данный момент не обнаружено, чтобы ее собственные системы были затронуты, а в рамках предварительной оценки данное событие «скорее похоже на злоупотребление доступом, чем на внешнюю хакерскую атаку».

Даже если пользователи, получившие возможность использовать Mythos раньше остальных, пока не совершали вредоносных действий, сам инцидент все равно вызывает у специалистов по кибербезопасности повышенную настороженность. Генеральный директор компании по кибербезопасности Smarttech247 Ралука Сасеану отметил:

Если мощные AI-инструменты получить доступ или использовать вне установленных механизмов контроля, то риски — это не просто один инцидент в сфере кибербезопасности; они куда более вероятно поднимают вопросы о возможном мошенничестве, интернет- злоупотреблениях или иных злонамеренных целях.

Какие последствия это может иметь? Уязвимость в регуляции безопасности AI

По-настоящему тревожная часть этого инцидента заключается не в том, что кто-то пытался что-то разрушить, а в том, что он выявил системную слабость: когда AI-компании передают доступ к высокочувствительным моделям третьим поставщикам, любая брешь в любом звене всей сети контрольно-пропускных механизмов может стать точкой отказа и привести к кризису.

Теперь инцидент с Mythos напоминает всей отрасли: в условиях стремительного прогресса возможностей AI дизайн системы безопасности не может опираться только на доверие; ей также нужна институциональная устойчивость, способная выдержать сбой доверия. Для Anthropic вопрос о том, как восстановить доверие внешних сторон к механизмам контроля над ее партнерами, станет проблемой более долгосрочной, чем само расследование.

Эта статья «Вооруженная уровень безопасности ресурсной модели Anthropic — Mythos подверглась несанкционированному доступу: как им это удалось?» впервые появилась в «鏈新聞 ABMedia».