Por AJ Vicens
20 Mai (Reuters) - Os temores iniciais de que o novo modelo de inteligência artificial da Anthropic, o Mythos, poderia turbinar drasticamente o hacking parecem exagerados um mês após seu lançamento.
A empresa alertou em abril que o Mythos havia descoberto milhares de vulnerabilidades de software -- incluindo falhas em todos os principais sistemas operacionais e navegadores. Além disso, a Anthropic afirmou que as consequências de sua disseminação poderiam ser graves.
Os governos perceberam. Autoridades de vários países se reuniram com bancos para avaliar os riscos e, no início de maio, a Casa Branca estava avaliando regras para controlar como os novos modelos são lançados após os testes de segurança.
Mas no mundo da segurança cibernética a reação foi mais comedida, com alguns dizendo que a resposta mais ampla foi exagerada e que o acesso a um modelo "large language" (linguagem grande) do nível do Mythos não permitirá imediatamente operações de hacking que antes estavam fora do alcance de agentes mal-intencionados.
"Acho que há uma grande lacuna de comunicação entre os profissionais e os formuladores de políticas", disse Isaac Evans, fundador e presidente-executivo da empresa de segurança de software Semgrep. O modelo representa "um avanço técnico real", disse ele, mas a resposta "não é fundamentada pelo que realmente sabemos sobre como esses recursos serão traduzidos em campo".
Os especialistas que usaram o modelo em ambientes controlados relataram melhorias substanciais na descoberta de vulnerabilidades, e as equipes de tecnologia da informação do setor bancário estão trabalhando para corrigir dezenas de pontos fracos em sistemas de bancos grandes e pequenos, informou a Reuters anteriormente.
A preocupação aumentou ainda mais com as contínuas revelações de casos criminosos de hacking ligados ao Estado envolvendo IA.
RISCO MEDIDO
A lacuna entre a extensão da ameaça vista pelos profissionais de segurança e a visualizada pelos formuladores de políticas alimentou uma narrativa que coloca o Mythos no centro de uma crise iminente de segurança, mesmo que recursos comparáveis já estejam disponíveis há algum tempo.
"Conseguimos usar a IA para encontrar mais bugs (falhas) do que conseguimos tratar por meses, se não anos", disse uma pessoa com ampla experiência em pesquisa de vulnerabilidades e com acesso antecipado ao Mythos. O desafio não é encontrar vulnerabilidades, disseram os especialistas, mas validá-las, priorizá-las e corrigi-las sem quebrar os sistemas.
A capacidade das organizações de processar e validar uma enxurrada de vulnerabilidades recém-descobertas geralmente não está onde precisa estar, disse a fonte, e esse é o maior desafio introduzido pelos modelos do nível do Mythos.
"Ele é capaz de encontrar mais com um prompt mais fraco do que os modelos anteriores", disse a fonte, referindo-se às instruções que um usuário fornece ao modelo para tentar atingir um objetivo. Os modelos existentes exigiam instruções mais detalhadas e complicadas, afirmou, o que significa que a barreira de entrada foi reduzida.
Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, disse que um aspecto novo e útil do Mythos é sua capacidade não apenas de identificar vulnerabilidades, mas também de verificar com muito mais rapidez grandes quantidades de código em busca dessas vulnerabilidades. Assim, ele ajuda profissionais experientes a reduzir a taxa de falsos positivos.
Isso, segundo Grieco, permite que os defensores se concentrem nos riscos cibernéticos mais urgentes em seus contextos. O modelo também tem menos barreiras do que os modelos anteriores, permitindo que os usuários criem instruções mais específicas.
PROJETO GLASSWING TESTA DEFESAS
Grieco disse ainda que, para maximizar totalmente o uso do Mythos, as organizações precisam tanto de poder de computação adequado quanto de um rigoroso "harness" -- termo usado para descrever o ambiente de computador em uma organização em que um modelo de large language é executado com instruções e limitações específicas.
"Se você tem um carro de Fórmula 1, mas só dirigiu uma bicicleta, talvez consiga fazer com que ele ande em linha reta", disse Grieco. "Mas você não vai maximizar o tempo de pista logo de cara."
Mesmo assim, a estruturação da Anthropic -- e sua decisão de convidar empresas selecionadas para testar as defesas em um programa chamado Project Glasswing -- ajudou a levar a conversa sobre o modelo muito além dos círculos de segurança típicos.
ENCONTRAR VULNERABILIDADES É APENAS O COMEÇO
O Mythos -- e até certo ponto o GPT-5.5, da OpenAI -- tem dominado as discussões sobre segurança nos EUA em relação à IA. Mas esses debates geralmente ignoram um ponto mais simples: a inteligência artificial que caça vulnerabilidades não é nova. O verdadeiro problema é o que vem a seguir.
"Nossos adversários se tornaram muito bons sem IA", disse Cynthia Kaiser, ex-funcionária sênior de segurança cibernética do FBI, atualmente na Halcyon.
"Os ataques de ransomware estão acontecendo em menos de uma hora", disse ela, acrescentando que a maioria das ameaças ainda não depende de IA. O ransomware é um tipo de ataque cibernético em que criminosos bloqueiam ou criptografam arquivos e sistemas de uma pessoa ou empresa, para depois exigirem resgate para liberação do acesso.
Por enquanto, a escala e as demandas de computação e infraestrutura do Mythos também limitam quem pode usá-lo. Mas é improvável que essas barreiras perdurem.
"Não acho que a arquitetura esteja otimizada", disse Nick Adam, da empresa de serviços financeiros State Street, durante um painel de discussão na Universidade de Vanderbilt. "Há uma barreira para a entrada no mercado, mas ela será resolvida muito rapidamente."
(Reportagem de AJ Vicens em Detroit)
Aviso