Anthropic ogłosiło stworzenie modelu AI o nazwie kodowej Claude Mythos, który ma być zdolny do wykrywania tzw. luk zero-day w oprogramowaniu. Firma uznała go za zbyt niebezpieczny, by udostępnić go publicznie – i natychmiast wzbudziła tym ogromne zainteresowanie mediów oraz inwestorów.
Kluczowe fakty:
- Anthropic ogłosiło stworzenie modelu Claude Mythos, który ma wykrywać luki zero-day w oprogramowaniu i w ciągu kilku tygodni testów miał znaleźć tysiące takich błędów w głównych systemach operacyjnych i przeglądarkach. Firma uznała model za zbyt niebezpieczny do publicznego udostępnienia.
- W ramach Project Glasswing dostęp do wczesnej wersji narzędzia otrzymało około 50 organizacji, w tym Apple, Google, Microsoft i Amazon Web Services, aby dać im czas na łatanie własnego kodu. Mozilla potwierdziła skuteczność narzędzia, które pomogło znaleźć 271 błędów w Firefoxie.
- Ogłoszenie Mythosu odbywa się w trakcie rundy finansowania, która ma wycenić Anthropic na 900 miliardów dolarów przed planowanym IPO. Krytycy porównują to do wcześniejszej strategii OpenAI z GPT-2, który również początkowo był przedstawiany jako "zbyt niebezpieczny" do publicznego udostępnienia.
Czym właściwie są luki zero-day?
Zanim przejdziemy do sedna, warto wyjaśnić jedno pojęcie. Luki zero-day to poważne błędy w oprogramowaniu, o których jego twórcy jeszcze nie wiedzą. Nazwa pochodzi z wczesnych lat komputeryzacji, gdy hakerzy kradli nieudostępnione oprogramowanie, które „wyszło zero dni temu”. Dziś oznacza błędy nieznane deweloperom – i właśnie dlatego są tak niebezpieczne. Ktoś, kto je znajdzie pierwszy, może je eksploatować bez ograniczeń, dopóki producent nie zorientuje się o problemie.
Przez całą historię cyberbezpieczeństwa to właśnie odkrycie takich luk było największym wyzwaniem. Dobre firmy bezpieczeństwa zarabiają krocie właśnie dlatego, że potrafią je znajdować. Testy penetracyjne kosztują od 20 do 120 tysięcy dolarów, a cena zależy bezpośrednio od reputacji firmy w zakresie wykrywania nieznanych podatności. To rynek oparty na rzadkości talentu.
Prawie co drugi pracownik w Polsce używa AI za plecami swojego szefa. 71% polskich pracowników oszczędza dzięki AI od pół godziny do ponad dwóch godzin dziennie …
Co potrafi (podobno) Mythos?
Anthropic twierdzi, że Mythos, zbudowany na bazie modelu Claude, w ciągu zaledwie kilku tygodni testów wykrył tysiące luk zero-day. W każdym głównym systemie operacyjnym. W każdej popularnej przeglądarce internetowej. Część odnalezionych błędów liczyła sobie kilkadziesiąt lat, część dotyczyła oprogramowania open-source używanego przez setki innych produktów – jak choćby koder wideo FFmpeg.
Firma opublikowała liczący 244 strony raport z wynikami testów, ale samego modelu nie udostępniła użytkownikom. Zamiast tego uruchomiła inicjatywę o nazwie Project Glasswing, nazwaną od gatunku motyla o przezroczystych skrzydłach. W jej ramach dostęp do wczesnej wersji narzędzia, nazwanej Mythos Preview, otrzymało około 50 organizacji – w tym Apple, Google, Microsoft, Amazon Web Services, NVIDIA, Linux Foundation i JPMorganChase. Celem jest danie im czasu na łatanie własnego kodu, zanim Mythos trafi w ręce potencjalnych napastników.
Brzmi jak odpowiedzialny plan. Ale tu zaczyna się pytanie.
Realne zagrożenie czy marketing strachu?
Zatrzymuję się tu na chwilę, bo mam mieszane uczucia. Z jednej strony – jeśli Mythos naprawdę działa tak, jak opisuje Anthropic, to mamy do czynienia z potencjalnym przełomem w cyberbezpieczeństwie. Narzędzie, które w ciągu chwil analizuje miliony linii kodu i wyłapuje to, na co ludzki analityk potrzebowałby tygodni, mogłoby radykalnie przyspieszyć „higienę” całego ekosystemu oprogramowania. To naprawdę dobra wiadomość. Ale jest też druga strona. Kto decyduje, że „dobrymi ludźmi” są Apple, Google i JPMorgan? Czy przekazanie tak potężnego narzędzia kilku technologicznym gigantom to rzeczywiście ochrona – czy może nowa forma koncentracji władzy? I dlaczego akurat teraz, tuż przed rundą finansowania, która ma wycenić firmę na 900 miliardów dolarów? To pytanie warto zadać.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Reakcje środowiska są dalece niejednolite. Analitycy z Forrester piszą, że Anthropic stało się nagle „najważniejszym partnerem każdej firmy z branży cyberbezpieczeństwa”. Z kolei krytyk branży AI, Ed Zitron, nazywa całe ogłoszenie „half-assed sub-War of the Worlds horseshit” (coś w rodzaju „połowicznego, podrzędnego bełkotu rodem z Wojny Światów”). Część komentatorów straszy „bugageddonem” – totalnym załamaniem infrastruktury cyfrowej. BBC podniosło temat możliwego „całkowitego upadku internetu”. Biały Dom podobno rozważa objęcie nowych modeli AI federalnym procesem recenzji przed ich upublicznieniem – co byłoby zwrotem o 180 stopni w stosunku do dotychczasowego podejścia administracji Trumpa.
Precedens jest. I to niewesoły.
Branża AI ma już doświadczenie z narracją „za niebezpieczne, żeby wypuścić”. W 2019 roku OpenAI – z Dario Amodeim w roli jednego z liderów – ogłosiło, że GPT-2 jest zbyt potężny, by oddać go w ręce publiczności. Media oszalały. Kilka miesięcy później GPT-2 był ogólnodostępny, a świat nie skończy się ani tego dnia, ani w żadnym innym. Sześć lat później GPT-5, według doniesień, nadal ma problemy z ustawianiem timerów.
Schemat jest więc znany:
- ogłoszenie przełomu
- podkreślenie zagrożeń i „odpowiedzialne” ograniczenie dostępu
- fala medialna
- kapitalizacja na uwadze inwestorów
- stopniowe udostępnianie po wyciszeniu się obaw
Uczona Emily M. Bender, współautorka książki The AI Con, komentuje to tak: „It’s just part of this pattern of unsubstantiated claims of power” (to po prostu kolejny element wzorca nieuzasadnionych twierdzeń o potędze).
Projekt Glasswing ma pęknięcia od startu
Jest jeszcze jeden niepokojący sygnał. Anthropic prowadzi już dochodzenie w sprawie doniesień, że Mythos Preview mógł trafić w ręce nieautoryzowanych użytkowników. Firma, która chwilę wcześniej ogłosiła, że pilnuje go jak oka w głowie, już na etapie wdrożenia pilotażowego ma problem z nieszczelnym dostępem.
Mozilla Foundation, która korzystała z Mythos Preview i nie ma szczególnych powodów, by Anthropicowi dobrze życzyć (organizacja aktywnie buduje „rebeliancką sojusz” startupów AI przeciwko dominującym graczom), przyznała jednak, że narzędzie pomogło jej znaleźć 271 błędów w Firefoxie. Przynajmniej trzy z nich otrzymały ocenę „wysokiego” wpływu. To brzmi jak coś realnego.
900 miliardów i nieuchronne pytania
Trudno zrozumieć ogłoszenie Mythosu bez jednego kontekstu, który w głównym nurcie medialnym przewinął się zadziwiająco rzadko: Anthropic jest w trakcie rundy finansowania, która ma wycenić firmę na 900 miliardów dolarów. Po niej planowane jest gigantyczne IPO jeszcze w tym roku.
Analityk Gary Marcus, sceptyk wobec branży AI, stwierdził wprost: „The model itself is incrementally better than previous recent models, but certainly not an off-the-chart breakthrough. To a certain degree, I feel that we were played.” (Sam model jest stopniowo lepszy od poprzednich, ale zdecydowanie nie jest przełomem poza wszelką skalą. Do pewnego stopnia czuję, że zostaliśmy rozegrrani.)
Mythos może i nie zniszczy internetu. Ale czy jest tak rewolucyjny, jak twierdzi Anthropic? Tego jeszcze nikt nie wie – bo nikt niezależny nie miał do niego prawdziwego dostępu.
