Estava naqueles momentos onde, as pessoas acessam uma reunião mas tem alguns minutos de espera para todos entrarem, e uma das pessoas comentou sobre o Claude Mythos e percebi que uma galera sabia algumas coisa sobre, e eu não. E como uso a escrita como uma forma de aprender e estar cada vez mais inteirado com novidades, cá estou eu descobrindo mais sobre esse modelo de inteligência artificial super eficiente em encontrar e explorar vulnerabilidades e, se de fato ele é perigoso como seus próprios criadores comentam. Todos os links dos sites e blogs que acessei para pesquisar estará no fim do artigo beleza?

Então vamos lá.

Claude Mythos: é um modelo de linguagem de grande porte (LLM) desenvolvido pela #anthropic e que ganhou grande repercussão por conseguir fazer tarefas complexas de cibersegurança em várias etapas identificando vulnerabilidades críticas de forma completamente autônoma. Como teria um risco altíssimo de ser usado para ataques virtuais em grande escala, a própria criadora, optou por não liberar para o público geral e dev's. Com ele podemos dizer que entramos num momento onde a autonomia da IA está acima da nossa defesa manual para alguns, criando uma nova ordem para a Cyber e para outros, foi apenas uma "gritaria" inicial mas depois de um tempo se mostra não tão disruptante assim.

Um caso emblemático foi a descoberta de um bug de 27 anos da OpenBSD, sistema operacional que muita gente curte por sua alta segurança e outra foi encontrar uma falha em um software de vídeo que havia sido verificado por ferramentas automáticas de varreduras mais de 5 milhões de vezes sem sucesso (fato ou abordagem diferente?). "O objetivo é tanto aumentar a conscientização quanto dar aos bons atores uma vantagem no processo de proteger infraestrutura e aplicações de código aberto e privado", afirmou Jared Kaplan, chefe de ciência da Anthropic. O que o torna disruptivo acredita-se é sua autonomia operacional e não o texto que cria, consegue traduzir a intenção simplória em uma execução excelente facilitando ter uma vasta experiência de anos em hacking.

Me aprofundei no que é o projeto Glasswing que nada mais é uma forma de conter o potencial desse modelo, criando uma coalizão global para proteger a infra crítica de redes de energia, sistemas financeiros e de saúde. O projeto une concorrentes de longos anos como AWS, Apple, Google, Microsoft e outras como JP Morgan, CrowdStrike e outros. Liberou um valor considerável de crédito para esses grupos garantindo que possam ter tempo de testar nas sua base se tem vulnerabilidades. Os tempo de certas ações hoje são extremamente mais rápidos que em outros momentos, As empresas hoje enfrentam o medo de que a automação da defesa esteja tragicamente atrasada. O gargalo mudou de lugar: as organizações não possuem infraestrutura para validar, priorizar e aplicar patches na velocidade da IA sem o risco de derrubar seus próprios sistemas produtivos. O ataque é instantâneo; a homologação de uma correção ainda é um processo burocrático e lento.

Conteúdo do artigo
IA de security vai longe isso?


Agora eu pergunto: Mythos é muito HYPE do novo ou na realidade está longe famoso "Paradoxo do Harness" ?

Explicando de forma simples esse paradoxo de harness em suma é que a capacidade assustadora do Mythos de achar vul's não vem de uma super inteligência ou técnicas extremamente inovadoras e sim a infra em que ele se encontra(o harness que significa arcabouço ou um aquário) construída ao redor dele. Para encontrar algumas falhas como a do FreeBSD por exemplo, precisou de uma estrutura robusta e de dezenas de interações humanas refinando e apontando o caminho. O desempenho é absurdamente alto isso é notório mas, necessita de um "aquário" bem feito que será de fato o guia em busca da solução. Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, propôs uma analogia que achei incrível:

"Claude Mythos é um carro de Fórmula 1, incrivelmente potente, mas exige o bendito harness ( seria o ambiente de computação restrito e controlado, com certas limitações ) para operar com segurança. Sem bons pilotos, a máquina pode ser destrutível, com um carro desses, se você apenas dirigiu uma bicicleta, talvez não vá conseguir manter ele em linha reta, e não vai fazer que a corrida seja concluída da melhor forma como seria o objetivo. No mundo real de uma empresa, não há código-fonte aberto disponível, existem barreiras como EDR's, honeypots e times de resposta a incidentes, o barulho que uma solução como essa pode causar de certa forma é previsível, onde certamente seria bloqueado nos primeiro minutos por qualquer defesa moderna e mais um ponto é, uma outra linha pensa que tem uma jogada de marketing enorme para promover o Mythos que sim, é uma boa ferramenta mas, o custo pe 5 vezes mais que o Claude Opus por exemplo, e que a Antropic não teria as GPUS para abrir esse modelo em grande escala logo, criar o Glasswing apenas dá tempo de melhorar a estrutura de servidores e posiciona a marca como a real defensora ética do mercado.

Fechando o artigo o que aprendi nessas pesquisas é que, certamente o Mythos é uma solução espetacular, que realmente podemos dizer que é um ponto marcante no cenário mundial, principalmente ao se pensar que, a forma como ele raciocina logicamente e analisa o código, é diferente do que existia, entregando respostas que ferramentas antigas não entregavam porém, não podemos esquecer que, sem ferramentas robusta e configuradas, IA sem contexto ou melhor Paradoxo de Harmess, é apenas fogo de palha. Quando a lógica dele for filtrada para modelos mais simples e menores, e claro mais baratos onde a estrutura seja mais simples talvez, a visão da pessoa não tão especializada vai ser mais real sobre a inovação. Um coisa é certa, códigos antigos, processos manuais não devem ser levados com tanta confiança assim como disse Logan Graham um dos pesquisadores da Antropic.

Se a nossa infraestrutura foi construída para resistir a lentidão do esforço humano, como sobreviveremos a uma era de ataques que sejam simples e baratos, de forma autônoma e numa velocidades 100, 200 vezes maior ?

Fica esse pensamento e até mais....


PS : Links de pesquisa

IA que encontra vulnerabilidades: o que o caso Mythos revela sobre o futuro da cibersegurança - Times Brasil | CNBC

https://timesbrasil.com.br/empresas-e-negocios/tecnologia-e-inovacao/ia-que-encontra-vulnerabilidades-o-que-o-caso-mythos-revela-sobre-o-futuro-da-ciberseguranca/?utm_source=chatgpt.com

IA Mythos expõe falhas globais e acende alerta sobre concentração de poder tecnológico – Jornal da USP

Anthropic Limita o Lançamento da Mithos AI: É Perigoso Demais para a Cibersegurança Global – Security PY

Claude Mithos: Qual é a nova IA autônoma capaz de hackear

#sec #ti #seguranca #security #ia #cyber