Künstliche Intelligenz deckt Schwachstellen auf und bietet Hackern kurze, aber alarmierende Angriffsmöglichkeiten

Kurz gesagt

Anthropic gibt an, dass seine KI Zehntausende Software-Schwachstellen aufgedeckt hat.

CEO Dario Amodei warnte, dass es ein Zeitfenster von 6 bis 12 Monaten gäbe, um diese Probleme zu beheben.

Kritiker sagen, dass die Risiken trotz wachsender Sicherheitsbedenken möglicherweise überbewertet werden.

Eine Diskussion zwischen Anthropic-CEO Dario Amodei und JPMorgan Chase-CEO Jamie Dimon am Dienstag konzentrierte sich auf die wachsende Cybersicherheitsbedrohung durch künstliche Intelligenz, da diese Schwachstellen schneller erkennt, als Unternehmen sie beheben können.

In der fast zweistündigen Veranstaltung im Zusammenhang mit dem Vorstoß von Anthropic in den Finanzdienstleistungsbereich, bei dem KI-Agenten für Aufgaben wie Pitchbooks, Gewinnüberprüfung und Compliance-Arbeit vorgestellt wurden, sagte Amodei, dass es möglicherweise ein Zeitfenster von sechs bis zwölf Monaten gebe, um Zehntausende von Schwachstellen zu beheben, die durch das Mythos-Modell des Unternehmens aufgedeckt wurden, bevor ähnliche Funktionen allgemeiner verfügbar werden.

„Die Gefahr besteht lediglich in einer enormen Zunahme der Schwachstellen, der Zahl der Verstöße und des finanziellen Schadens, der durch Ransomware in Schulen, Krankenhäusern und ganz zu schweigen von Banken entsteht“, sagte Amodei.

Amodeis neueste Aussagen folgen früheren Tests mit Mozilla, bei denen eine frühe Version von Mythos in einem einzigen Durchgang 271 Schwachstellen im Firefox-Browser identifizierte und zeigten, wie KI große Codebasen viel schneller scannen kann als menschliche Forscher.

Anthropic sagte, das Modell könne Tausende bisher unbekannte Schwachstellen in weit verbreiteter Software aufdecken. Viele bleiben geheim, weil sie noch nicht gepatcht wurden und ungelöste Mängel hinterlassen.

„Wenn wir etwas ankündigen, ohne dass es repariert wird, werden die Bösewichte es ausnutzen“, sagte Amodei.

In kontrollierten Tests führte Mythos mehrstufige Netzwerkangriffssimulationen ohne menschliches Eingreifen durch und demonstrierte damit die Fähigkeit, von der Identifizierung von Schwachstellen zur Ausnutzung dieser Schwachstellen überzugehen.

Anthropic hat das Modell im Rahmen des Project Glasswing auf eine kleine Gruppe von Partnern beschränkt, mit dem Ziel, Schwachstellen zu beheben, bevor ähnliche Tools allgemein verfügbar werden.

Forscher haben gezeigt, dass Elemente der Leistungsfähigkeit von Mythos mit vorhandenen Modellen und Open-Source-Techniken reproduziert werden können, was darauf hindeutet, dass sich ähnliche Tools schneller als erwartet verbreiten könnten.

Die Warnungen haben in der Branche Skepsis hervorgerufen. Im April sagte Sam Altman, CEO von OpenAI, dass die Bedenken hinsichtlich Mythos möglicherweise überbewertet seien, und schlug vor, dass Anthropic „angstbasiertes Marketing“ verwende, um die Risiken darzustellen und die Einschränkung des Zugangs zur Technologie zu rechtfertigen.

„Man kann das auf viele verschiedene Arten rechtfertigen, und einiges davon ist real, so als gäbe es berechtigte Sicherheitsbedenken“, sagte Altman. „Aber wenn Sie sagen: ‚Wir brauchen die Kontrolle über die KI, nur wir, weil wir vertrauenswürdige Menschen sind‘, dann ist angstbasiertes Marketing meiner Meinung nach wahrscheinlich der effektivste Weg, dies zu rechtfertigen.“

Trotz dieses Widerstands und trotz einer öffentlichen Fehde mit Anthropic nutzt die US-Regierung laut Axios Berichten zufolge Claude Mythos, um geheime Netzwerke auf Schwachstellen zu scannen und ihre Cybersicherheitsfähigkeiten zu testen. Während er nicht auf den laufenden Rechtsstreit einging, sagte Amodei, Anthropic sei „gut für dieses Land“.

„Ich denke, die Sichtweise von Anthropic ist die gleiche wie immer. In Bezug auf die Politisierung ist dies der Punkt, den ich angesprochen habe: rationalisiert, systematisch und fair gegenüber allen“, sagte Amodei. „Der Zweck von Gesetzen und nicht, Dinge ad hoc zu tun, besteht darin, dass alle Unternehmen zumindest im Prinzip – ich weiß, dass es in der Praxis komplizierter ist – gleich behandelt werden, und das sollten wir anstreben, auch wenn es niemals perfekt so passieren wird.“

Amodei beschrieb den Moment als ein enges Handlungsfenster und warnte davor, dass die Reaktionsgeschwindigkeit von Organisationen darüber entscheiden könne, ob die Risiken eskalieren oder unter Kontrolle gebracht werden.

„Hier geht es um einen Moment der Gefahr, in dem wir auf der anderen Seite eine bessere Welt haben können, wenn wir richtig darauf reagieren und ich denke, wir haben begonnen, die ersten Schritte zu unternehmen“, sagte Amodei. „Es gibt nur eine begrenzte Menge Fehler zu finden.“