Anthropic utreder uppgifter om att en grupp obehöriga användare fått tillgång till Claude Mythos, företagets kraftfulla AI-modell för cybersäkerhet som anses vara för farlig att släppa publikt.

Vad har hänt?

Enligt en rapport från Bloomberg har medlemmar i ett privat onlineforum lyckats få åtkomst till Mythos via en tredjepartsleverantörs miljö. En av personerna i gruppen hade redan behörighet att se Anthropics AI-modeller genom arbete som kontraktör åt ett av företagets partnerföretag.

"Vi utreder en rapport som hävdar obehörig åtkomst till Claude Mythos Preview genom en av våra tredjepartsleverantörers miljöer", sa en talesperson för Anthropic till TechCrunch. Företaget uppger att de hittills inte hittat bevis på att den obehöriga aktiviteten påverkat Anthropics egna system.

Hur fick de åtkomst?

Gruppen, som är del av en Discord-kanal fokuserad på att hitta information om osläppta AI-modeller, använde flera strategier. Enligt Bloomberg gjorde de en "kvalificerad gissning om modellens onlineplats baserat på kunskap om det format Anthropic använt för andra modeller". De ska ha fått åtkomst samma dag som Mythos offentliggjordes.

Gruppen har sedan dess använt modellen regelbundet och visade Bloomberg bevis i form av skärmdumpar och en livedemonstration. Enligt källorna är gruppen "intresserad av att experimentera med nya modeller, inte att orsaka skada".

Varför är detta allvarligt?

Mythos släpptes enbart till ett utvalt antal företag, däribland Apple, som en del av initiativet Project Glasswing. Den begränsade distributionen var utformad för att förhindra att modellen hamnar i fel händer, eftersom Anthropic själva varnat för att verktyget kan användas som vapen mot företagssäkerhet istället för att stärka den.

Säkerhetsexperten Raluca Saceanu, vd för Smarttech247, beskrev incidenten som "troligen missbruk av befintlig åtkomst snarare än ett klassiskt hack".

"När kraftfulla AI-verktyg används utanför sina avsedda kontroller handlar risken inte bara om en säkerhetsincident, utan om spridning av kapaciteter som kan användas för bedrägeri, cyberattacker eller annan skadlig verksamhet", sa Saceanu.

Bredare kontext

Incidenten väcker frågor om stora AI-företags förmåga att kontrollera åtkomsten till sina mest avancerade modeller. Mythos har redan varit föremål för debatt sedan det avslöjades att NSA använder modellen för cybersäkerhetsändamål.

Richard Horne, chef för Storbritanniens National Cyber Security Centre (NCSC), kommenterade vid säkerhetskonferensen CyberUK att "frontier-AI snabbt möjliggör upptäckt och utnyttjande av befintliga sårbarheter i stor skala".

Händelsen understryker behovet av robusta åtkomstkontroller i hela leverantörskedjan, inte bara hos AI-företagen själva, utan även hos alla tredjeparter som får tillgång till känsliga modeller.