Anthropic heeft vorige week een eerste voortgangsupdate gepubliceerd over Project Glasswing, het selectieve toegangsprogramma voor zijn controversiële beveiligingsmodel Mythos. De update bevat zowel een opvallende belofte als een bekentenis.
Het bedrijf wil Mythos-klasse modellen ooit algemeen beschikbaar stellen, maar erkent tegelijk dat niemand, en dus ook Anthropic zelf niet, vandaag over de nodige veiligheidswaarborgen beschikt om dat te doen.
Intussen wordt de toegang tot Mythos uitgebreid naar nieuwe partners, waaronder Amerikaanse en geallieerde overheden. Tot de oprichtende partners van het project behoren Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, de Linux Foundation, Microsoft, Nvidia en Palo Alto Networks.
23.000 kwetsbaarheden later
De cijfers uit de update zijn zowel best indrukwekkend als alarmerend. Mythos scande meer dan duizend opensourceprojecten die een groot deel van de internetinfrastructuur ondersteunen, en vond automatisch 23.019 mogelijke kwetsbaarheden, waarvan 6.202 initieel als hoog of kritiek werden beoordeeld.
Maar een ruwe ai-scan is nog geen bewijs. Anthropic filterde die bevindingen eerst intern en rapporteerde 1.752 gevallen aan de betrokken softwareonderhouders. Van die gerapporteerde gevallen bevestigden de maintainers 90,6 procent als een reëel lek, waarvan 62 procent effectief hoog of kritiek ernstig bleek, goed voor 1.094 ernstige kwetsbaarheden.
Een van de zwaarste trof de cryptografiebibliotheek wolfSSL, die op miljarden apparaten draait. Mythos construeerde daarvoor een werkend exploit waarmee aanvallers valse certificaten konden aanmaken voor bank- of mailwebsites.
De patching loopt echter achter. Van die 1.094 bevestigd ernstige lekken zijn er vooralsnog slechts 75 verholpen. Opensourceonderhouders klagen over een lawine van meldingen en onvoldoende capaciteit om bij te benen.
Dat bevestigt wat critici in april al aanstipten: Mythos voegt druk toe aan een al overbelast beveiligingsecosysteem. Of hoe ai vaak voor meer uitdagingen dan oplossingen zorgt.
