Mythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker?
Mythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker? De aller fleste av Digis lesere har nok fått med seg at KI-selskapet Anthropic nylig lanserte sin siste og kraftigste språkmodell, « Mythos ».
Mythos er spesielt godt egnet til å identifisere sårbarheter – og mye bedre enn tidligere modeller på å utnytte dem. Blant annet skal Mythos ha funnet en over 20 år gammel sårbarhet i Linux-kjernen. En sårbarhet som sikkerhetstestingen frem til nå ikke hadde identifisert. I mars holdt Anthropic-forsker Nicholas Carlini et foredrag under KI-konferansen prompted om Mythos’ evne til å identifisere sårbarheter.
Carlini sa at Anthropic ikke engang hadde ressurser til å gjennomgå og verifisere alle funnene, på grunn av antallet sårbarheter som ble avdekket. Hvor mange av påstandene fra de store KI-selskapene som er markedsføring, og hva som er fakta, er krevende å vurdere. Konkurransen mellom dem er beinhard og frykten for å havne bak konkurrentene, er til å ta og føle på. Spesielt er konkurransen beintøff mellom Open AIs Codex og Anthropics Opus-modeller.
Det er et Formel 1-løp hvor det kjempes om millisekunder for å komme først i mål. Anthropic har blitt anklaget for markedsføringsstunt etter lanseringen av Mythos. Å lansere en modell som angivelig skal være så god til å identifisere og utnytte programvare-sårbarheter, at den ikke engang kan lanseres åpent for alle , skaper nysgjerrighet, mystikk og begeistring. Samtidig kan strategien ha vært en oppvisning i ansvarlighet.
For å hindre mer og mindre avanserte trusselaktører fra å få tilgang til en betydelig kapasitet til å utføre cyberoperasjoner og -angrep. Derfor lanserte Anthropic «Project Glasswing» som ga flere store IT- og cybersikkerhetsselskaper, herunder Microsoft, Google, Cisco og Nvidia, eksklusiv tilgang til Mythos. Slik at de kan identifisere og fikse egne sårbarheter, før angriperne utnytter dem. Det er allerede godt kjent at trusselaktører i dag benytter KI til å forbedre både enkelte steg og større deler av en angrepskjede.
Anthropic fikk selv erfaring med temaet da de i september i fjor avdekket at deres Claude-modeller ble brukt av en stats-tilknyttet aktør fra Kina. Over 30 selskaper innen teknologi, finans, produksjon og myndighetsaktører, ble forsøkt kompromittert. Flere av forsøkene var vellykkede. Anthropic anslo at Claude-modellene utførte 80-90 prosent av angrepskjeden i operasjonene.
KI har med andre ord blitt en sentral bidragsyter i trusselaktørers cyberoperasjoner. De har over tid utviklet seg fra å være et nyttig phishing-verktøy for utenlandske kriminelle,til nå å kunne effektivisere større deler av en mer avansert cyberoperasjon. Fra å innhente informasjon om målet, utvikle skreddersydd skadevare og automatisere uthentingen av sensitive data. Barrierene som KI-selskapene har laget for å forhindre misbruk av deres kraftigste modeller, har vist seg å kunne omgås av kreative angripere.
Slik de kinesiske aktørene gjorde. Derfor er det hensiktsmessig å forhindre trusselaktørene fra å få tilgang til KI-modellene. Britiske myndigheters KI-institutt skriver i sin vurdering av Mythos at de beste KI-modellene knapt var i stand til å fullføre såkalte CTF-oppgaver på nybegynnernivå, for to år siden. Nå, i kontrollerte evalueringer, observerte AISI at Mythos utførte hele angrepskjeder mot sårbare nettverk, samt oppdaget og utnyttet sårbarheter, autonomt.
Oppgaver som det ville tatt fagfolk flere dager å utføre manuelt. Vi må derfor begynne å forberede oss på en mer krevende fremtid. Norske virksomheter er nok ikke klare for det som vil komme når «patche-vinduet» reduseres fra uker til sekunder. Altså tiden det tar fra en sårbarhet blir kjent til den blir bekreftet utnyttet av angripere.
Du må være innlogget hos Ifrågasätt for å kommentere. Bruk BankID for automatisk oppretting av brukerkonto. Du kan kommentere under fullt navn eller med kallenavn.
Hacking Kommentar Mythos Patching
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
«Patche-vinduet» reduseres til sekunderMythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker?
Read more »
«Patche-vinduet» reduseres til sekunderMythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker?
Read more »
«Patche-vinduet» reduseres til sekunderMythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker?
Read more »
«Patche-vinduet» reduseres til sekunderMythos har funnet en over 20 år gammel sårbarhet i Linux-kjernen. Er norske virksomheter forberedt på å måtte sikkerhetsoppdatere systemer på sekunder, ikke uker?
Read more »