Anthropic bikin panik di seluruh industri minggu lalu saat mengumumkan Claude Mythos Preview, model AI yang jago menemukan kerentanan keamanan siber tingkat tinggi.
Di antara pencapaiannya, model ini menemukan titik lemah di OpenBSD, sistem operasi yang dikenal aman, yang kata Anthropic tidak ketahuan selama 27 tahun dan sekarang sudah diperbaiki.
Perusahaan itu juga bilang model ini menemukan “ribuan kerentanan tambahan dengan tingkat keparahan tinggi dan kritis” di program sumber terbuka dan tertutup.
Para ahli teknologi dan pakar lain kemudian khawatir karena model bahasa besar ini bisa mengacaukan keamanan siber. Tapi, seorang veteran industri berusia 25 tahun meragukannya.
David Lindner, pejabat keamanan informasi utama di Contrast Security, bilang ke Fortune bahwa meski Mythos mungkin bantu temukan banyak masalah, ini belum tentu hal paling penting.
p>“Kami tidak pernah punya masalah untuk menemukan kerentanan. Kami menemukannya setiap hari. Sebenarnya kami punya tumpukan kerentanan yang tidak kami perbaiki,” katanya. “Jadi saya rasa ini tidak benar-benar mengubah apa pun.”
Lindner nunjukin bahwa titik lemah lebih mudah ditemukan daripada diperbaiki. Dia catat bahwa posting blog Anthropic yang umumkan Mythos menyatakan lebih dari 99% kerentanan yang ditemukan model ini belum ditambal.
Lebih spesifik, dia bilang Mythos hampir tidak bantu selesaikan salah satu masalah terbesar yang dihadapi pakar keamanan siber: rekayasa sosial. Peretas masih bisa pakai alat dan AI yang ada untuk menyamar sebagai bos karyawan atau pekerja IT dan dapat akses ke sistem, menurutnya.
Anthropic udah bilang Mythos sangat kuat sehingga tidak akan dirilis ke publik. Model ini hanya tersedia untuk 40 organisasi, termasuk perusahaan teknologi seperti Microsoft, Apple, dan Google, serta perusahaan lain seperti CrowdStrike dan bank JPMorgan Chase. Mereka bisa pakai teknologi ini untuk perbaiki infrastruktur keamanan mereka sendiri lewat usaha yang disebut Project Glasswing.
Karena banyak yang punya akses ke model ini, Lindner juga prediksi rahasianya tidak akan bertahan lama.
“Bahkan jika mereka, kutipan, tidak merilisnya, China akan punya versinya dalam lima atau enam bulan, dan akan ada versi sumber terbuka dalam satu atau dua tahun,” katanya.
Kebetulan, Fortune adalah yang pertama melaporkan perkembangan Mythos, berkat kelalaian keamanan di mana perusahaan meninggalkan detail tentang model bahasa besar itu di database yang bisa diakses publik.
Sementara itu, venture capitalist Marc Andreessen udah pertanyakan apakah Anthropic benar-benar tunda rilis Mythos karena kekhawatiran keamanan atau karena kurang daya komputasi untuk dukung peluncuran umum. Anthropic sering mengalami gangguan akhir-akhir ini dan membatasi pasokan komputasi pengguna saat puncak, lapor Wall Street Journal akhir pekan ini.
Namun, pakar keamanan siber lain tetap waspada terhadap Mythos dan potensinya untuk mengubah bentuk keamanan siber. Zach Lewis, pejabat informasi utama dan pejabat keamanan informasi utama di Universitas Ilmu Kesehatan dan Farmasi di St. Louis, bilang ke Fortune dia khawatir Mythos akan membuat lebih mudah bagi pelaku jahat, bahkan yang kurang pengalaman coding, untuk mengeksploitasi sistem.
“Aktor ancaman bahkan tidak perlu tahu tentang—mereka tidak perlu punya latar belakang—coding atau desain perangkat lunak untuk paham cara kerja sistem ini. Mereka bisa gunakan agen yang bisa lakukan itu untuk mereka,” katanya.
Menurut Lewis, bagian dari solusi untuk organisasi mungkin terletak pada memperkuat strategi yang sudah menggagalkan ratusan bahkan ribuan upaya eksploitasi setiap hari.
Ini termasuk menambal kerentanan yang ada dan memastikan izin yang dimiliki karyawan sangat terbatas sehingga tidak bisa dieksploitasi.
“Kamu harus mengunci semua itu,” katanya.