Cos'è l'AI ad accesso limitato di Anthropic?

Si tratta di Claude Mythos Preview (noto anche come Capibara), un modello di intelligenza artificiale rilasciato come gated research preview il 7 aprile e reso disponibile solo a 40 aziende selezionate per limitare i rischi legati alla sicurezza informatica.

Perché Claude Mythos è considerato il modello più intelligente mai sviluppato?

Il modello presenta una performatività eccezionale nel ragionamento, nella programmazione e nella sicurezza informatica, integrando la funzionalità di 'Recursive self-fixing' per l'individuazione e correzione automatizzata delle vulnerabilità software.

Come risponde la Banca Centrale Europea alla minaccia AI?

Il 26 maggio la BCE ha convocato le banche europee per creare una linea difensiva comune. Ha richiesto una rapida implementazione delle patch di sicurezza, maggiore condivisione di informazioni e ha spinto affinché Anthropic concedesse l'accesso al modello all'ENISA.

Claude Mythos, la minaccia AI alla cybersecurity: la BCE risponde

Q: Qual è il data leak che rileva la duplice minaccia a cybersecurity e aziende di settore?

Il 26 marzo un errore di configurazione ha causato una fuga di dati (circa 3000 contenuti) intercettata da M1Astra. Questo evento ha dimostrato che le capacità di Claude Mythos potrebbero essere sfruttate per sviluppare malware, minacciando al contempo le aziende tradizionali di cybersecurity.

Martedì 26 maggio, la BCE ha convocato una riunione con le banche europee per discutere di una linea comune di strategia difensiva contro la minaccia alla cybersecurity di Claude Mythos, il nuovo modello AI basato su architetture Large Language Models (LLM) di Anthropic.

Datr	Impatto su Claude Mythos e Cybersecurity
26 Marzo	Data leak archivi interni causa errore CMS intercettato da M1Astra.
7 Aprile	Lancio ufficiale di Claude Mythos Preview (gated research preview).
22 Aprile	Nuovo accesso non autorizzato al modello AI di Anthropic.
22 Maggio	Tracciamento di oltre 10.000 vulnerabilità software confermato.
26 Maggio	Riunione d’emergenza della BCE con le banche europee.

Un’AI ad accesso limitato

Dopo il lancio del 7 aprile, Claude Mythos Preview ha fatto molto parlare di sé. Si tratta dell’ultimo modello di intelligenza artificiale, noto anche con il nome Capibara, sviluppato da Anthropic, azienda pioniera nel machine learning. Parliamo di una gated research preview, dunque di un’anteprima ultraprotetta, ideata per restare chiusa al pubblico. «Nel prepararci al rilascio di Claude Mythos, vogliamo agire con estrema cautela e comprendere i rischi che esso comporta – anche al di là di quanto apprendiamo dai nostri test nell’ambito dell’IT risk management». Sono solo 40 i nomi delle aziende originariamente selezionate da Anthropic per disporre del modello, quasi tutte statunitensi; tra queste, le principali big tech:

amazon;
microsoft;
apple e le innovazioni nei sistemi operativi iOS.

Claude Mythos: il modello più intelligente mai sviluppato

La decisione della compagnia californiana di limitarne l’accesso è dovuta alla rilevazione di una performatività del modello fuori dal comune, in termini di «ragionamento, programmazione e sicurezza informatica supportata dal deep learning». Dettagli strategici del Progetto Glasswing è il nome di questa operazione, nata per «mettere queste capacità al servizio della difesa», riporta il sito ufficiale del progetto. L’obiettivo alla base sarebbe stato quello di implementare l’individuazione e la correzione delle vulnerabilità di sicurezza nei software critici e – soprattutto – nello stesso codice del modello. «Recursive self-fixing» è il nome della funzionalità in ambito cloud security che rende Mythos tanto innovativo. Pareekh Jain, analista tech, ci spiega che questa nuova funzionalità automatizzerebbe i processi di red-teaming, quelli condotti da hacker autorizzati (i cosiddetti «hacker etici specializzati in cyber threat intelligence») per simulare degli attacchi cibernetici atti a testare i sistemi di sicurezza digitale. «Oltre 10mila le vulnerabilità tracciate nell’ultimo mese nei software più importanti al mondo», testimoniava Anthropic il 22 maggio.

Il data leak che rileva la duplice minaccia a cybersecurity e aziende di settore

Il 26 marzo, tuttavia, l’invincibilità di questo modello è stata smentita – si direbbe. Un errore di configurazione del CMS ha provocato una fuga di dati: circa 3000 contenuti legati al blog, inclusi gli archivi interni e la bozza di comunicato, intercettata dal leaker M1Astra. In realtà, l’episodio non ha fatto altro che confermare il salto di qualità compiuto con Mythos, prodotto tanto performante quanto pericoloso. L’individuazione – ora automatizzata – delle vulnerabilità potrebbe, in realtà, incentivare i criminali informatici a farne un uso indirizzato a sviluppare malware e sfruttare criticità zero-day, com’è già successo ai modelli AI precedenti. L’attacco, tuttavia, è stato sferrato anche alle stesse aziende di fornitura di soluzioni di cybersecurity e cultura aziendale, le cui azioni sono crollate dopo pochi giorni dal rilascio dei dati. Troverebbero adesso un competitor imbattibile: gli stessi modelli AI, aziende come:

crowdstrike;
palo alto networks;
zscaler;
fortinet.

La Banca Centrale Europea risponde

Dopo il data leak del 26 marzo – annunciato il giorno seguente dai media – e un ulteriore accesso non autorizzato al modello in data 22 aprile, solo il 26 maggio la BCE e le sue funzioni di supervisione ha convocato in riunione le banche europee, in conformità ai protocolli della Direttiva NIS2. Lo scopo era chiaro: far fronte all’emergenza di una AI che, eludendo i protocolli di sicurezza, minacciava di insinuarsi nei sistemi IT delle banche europee senza che queste avessero potuto testarla. Secondo il quotidiano economico internazionale Financial Times, la BCE ha chiesto una più rapida implementazione delle patch (le porzioni di codice create per correggere bug e vulnerabilità e migliorare le prestazioni dei sistemi informatici) e una collaborazione da parte delle banche statunitensi tecnologicamente più avanzate– le stesse del progetto Glasswing, come la JP Morgan Chase nella condivisione di informazioni. Già un mese fa la BCE si impegnava nella ricerca di informazioni da estrapolare alle 111 banche dell’Eurozona da essa supervisionate, in merito a come si stessero preparando al pericolo della nuova AI, e gli esperti già riferivano all’agenzia di stampa britannica il potenziale senza eguali del modello. A fronte delle pressioni della Commissione Europea, Anthropic ha esteso l’accesso all’ENISA (Agenzia dell’Unione Europea per la Cybersecurity e linee guida ufficiali). Il tutto, in un contesto politico internazionale in cui l’incontro tenutosi negli ultimi giorni tra il Premier spagnolo Pedro Sánchez e il Pontefice ha fatto emergere un sentimento condiviso di allerta nei confronti di una «AI da disarmare». Resta da chiedersi quali saranno le sorti delle nostre istituzioni, ora che il seme di un’intelligenza artificiosa e, pertanto, franca dal nostro reale controllo, inizia a germogliare.

Fonte immagine: pixabay (JuliusH – https://pixabay.com/it/illustrations/generato-dallintelligenza-artificiale-8626467/ )