De Federal Reserve Board, toezichthouder op de Amerikaanse banken, slaat alarm over het nieuwe ai-model Anthropic Mythos. Ook de CISO Community Nederland waarschuwt tegen deze nieuwe generatie ai-modellen die pijlsnel kwetsbaarheden in it-infrastructuren kunnen vinden.
Volgens Dimitri van Zantvliet, voorzitter van de CISO Community Nederland, kan Mythos een enorme ontwrichtende kracht hebben. Extra angstaanjagend is dat een model zwakke plekken kan misbruiken met een snelheid die voor menselijke beveiligingsteams onmogelijk bij te benen is.
Amerikaanse toezichthouders hebben afgelopen dinsdag vooraanstaande bankiers bijeengeroepen om de nieuwe cybersecurity-risico’s te bespreken. Zo meldt persbureau Bloomberg. Mythos kan niet alleen in een handomdraai de zwakke plekken in software blootleggen, maar ook heel ingenieuze manieren bedenken om die te misbruiken. De FED vreest dat hiermee nieuwe systemische risico’s in het bancaire stelsel sluipen.
Fundamenteel
Het bestuur van de CISO Community Nederland richt zich met een direct advies tot directies en raden van bestuur. Volgens Van Zantvliet kan cybersecurity niet langer worden gedelegeerd als een ‘it-probleem voor beneden’; het is een fundamentele bestuurlijke verantwoordelijkheid.
Ai heeft het tijdperk van eenvoudige tekstgeneratie achter zich gelaten. Nieuw is ai die zelfstandig actie onderneemt. Kwaadwillenden kunnen hiermee kritieke infrastructuur aanvallen. Van Zantvliet: ‘Als deze technologie vandaag in de verkeerde handen valt, wordt het extreem moeilijk om de achterstand in te halen.’
Hij vreest dat deze software binnen enkele maanden wordt gerepliceerd in opensource-modellen (al beweert ontwikkelaar Anthropic het Mythos-model niet publiekelijk uit te brengen). Dan komen deze mogelijkheden wereldwijd beschikbaar voor elke actor. Het grote gevaar zijn snellere zero-day-aanvallen: de tijdspanne tussen de ontdekking en de exploitatie van een kwetsbaarheid krimpt van dagen naar uren.
Menselijk fouten
Zoals recente datalekken hebben aangetoond, blijven menselijke fouten in configuratiebeheer een kritieke aanvalsvector. Organisaties moeten de detectie van verkeerde saas- en cloudconfiguraties automatiseren. Beveiligingsteams moeten ai-gestuurde verdedigingstools inzetten om de overweldigende hoeveelheid signalen te filteren en hun meest kritieke assets te beschermen voordat geautomatiseerde open-sourcetools ze als eerste vinden.
Van Zantvliet wijst op het Mythos-datalek, veroorzaakt door een simpele configuratiefout. ‘Als we de omgeving rondom ai niet kunnen beveiligen, wordt ai zelf onze grootste kwetsbaarheid.’ Onlangs werd een interne blogpost van Anthropic per ongeluk openbaar. Daarin stonden details over het nieuwe, extreem krachtige ai model Claude Mythos. Door een configuratiefout in het contentmanagementsysteem stond de concepttekst tijdelijk openbaar toegankelijk.
