Компанія Anthropic заявила про свій намір відкрити для широкого загалу доступ до моделей, які за своєю ефективністю відповідатимуть її ШІ для пошуку багів Mythos — щоправда, лише після того, як зможе гарантувати їхню безпеку.
Компанія Anthropic заявила про свій намір відкрити для широкого загалу доступ до моделей, які за своєю ефективністю відповідатимуть її ШІ для пошуку багів Mythos — щоправда, лише після того, як зможе гарантувати їхню безпеку.
На початку квітня Anthropic оголосила про розробку моделі під назвою Mythos. Вона настільки ефективно виявляє вразливості у коді, що компанія вирішила надати доступ до неї лише обмеженому колу організацій. Вільний доступ до моделі означав би, що кіберзлочинці зможуть швидко знаходити та експлуатувати недоліки в програмному забезпеченні, пише The Register.
Ця програма доступу отримала назву Project Glasswing. Її учасники зазначають, що ШІ справді швидко знаходить багато багів, проте серед них мало таких, які люди не змогли б виявити самостійно за наявності достатньої кількості часу та ресурсів. Ті, хто має доступ до Mythos, також іноді додають, що кількість виявлених помилок дещо перевищує їхню здатність вчасно випускати для них виправлення.
Минулого тижня компанія Anthropic опублікувала перші підсумки щодо Project Glasswing. У передостанньому абзаці цього звіту зазначається, що наступним кроком компанії стане «…співпраця з критично важливими партнерами, зокрема з урядами США та країн-союзників, задля залучення нових учасників до Project Glasswing. А в найближчому майбутньому, щойно ми розробимо значно потужніші засоби захисту, ми сподіваємося відкрити загальний доступ до моделей класу Mythos».
Компанія не уточнила, що саме вона має на увазі під «найближчим майбутнім», і визнає, що «на сьогодні жодна компанія — включно з Anthropic — не розробила засобів захисту, які були б достатньо надійними, щоб запобігти нецільовому використанню таких моделей і потенційному завданню серйозної шкоди».
Anthropic використовувала Mythos для сканування понад 1000 проєктів із відкритим вихідним кодом, які, за її словами, «разом становлять основу значної частини інтернету та більшої частини нашої власної інфраструктури».
На сьогодні Mythos виявила приблизно 6202 вразливості високого або критичного рівня серйозності в цих проєктах — і загалом 23 019 недоліків.
У публікації йдеться про те, що коли Mythos знаходить недолік, Anthropic та її колеги зі спільноти безпеки відтворюють проблему, яку виявила Mythos, і «переоцінюють її серйозність».
Компанія також повідомила, що розробники виправили лише 75 із 530 знайдених критичних багів, і по 65 із них уже вийшли публічні звіти. Чому так мало? Anthropic пояснює, що «90-денний термін, який за правилами дається розробникам на закриття дір, тільки-но пішов, тож незабаром патчів буде набагато більше». Крім того, реальна статистика може бути вищою, адже частину багів розробники латають «тихо», без публічних анонсів. Але факт залишається фактом: лавина знайдених ШІ помилок «просто завалює роботою й без того перевантажену екосистему безпеки».
