AI-modellen Mythos beskrevs som för farlig för att släppas till vem som helst. Dess förmåga att hitta säkerhetshål i IT-system var för kraftfull, så bara en handfull av de största företagen – Google, Amazon, Microsoft och några fler – skulle få tillgång. Allt för att de skulle hinna upptäcka och rätta till säkerhetshålen innan kriminella hackare och spioner hittade dem.
Nu kommer ett av de första vittnesmålen om hur Mythos fungerar i praktiken – och det avdramatiserar faktiskt hela saken.
Svenske Daniel Stenberg står bakom Curl, ett av de mest använda datorprogrammen i världen. Det finns inbyggt i allt från bilar till operativsystem, webbtjänster och en mängd olika program. Sannolikt finns Curl installerat på över tio miljarder datorer, mobiler och andra enheter världen över. Ett allvarligt säkerhetshål där skulle därför kunna vara förödande.
Nu har Mythos körts på Curl-koden, och det hittade ett enda säkerhetshål. Dessutom ett inte särskilt allvarligt.
– Det var en säkerhetsbugg på lägsta nivån, en petitess. Vi kände direkt: Det här är ju inte så farligt, säger Daniel Stenberg.
Buggen är inte allvarligare än att den kan fixas i uppdatering av Curl i juni, som var schemalagd sedan tidigare. Tills dess kommer Daniel Stenberg inte berätta några detaljer om den.
– Det är svårt att dra några slutsatser om Mythos. Vi har redan kört så många AI-verktyg som har upptäckt buggar och säkerhetshål. Men man kan inte låta bli att tänka: OM den nu var så superfarlig, då var det ändå rätt lite den hittade.
Förutom säkerhetshålet hittade Mythos ett 20-tal buggar som inte var säkerhetsrelaterade.
Daniel Stenberg betonar dock att större, mer komplexa system än Curl kan vara mer utsatta. En sådan signal har kommit från Mozilla, organisationen bakom webbläsaren Firefox. De hittade nyligen 271 säkerhetshål i koden till Firefox med hjälp av Mythos. Samtliga dessa är fixade i den senaste versionen av webbläsaren.
Daniel Stenberg har inte fått tillgång till Mythos själv, utan granskningen av Curl har utförts av en person som har fått tillgång via stiftelsen bakom operativsystemet Linux, som precis som Curl bygger på öppen källkod.
Mythos och andra AI-system som kan hitta säkerhetshål har skapat oro i techvärlden, inte minst bland banker som skulle kunna få stora problem om kriminella plötsligt får större möjligheter att hitta sätt att hacka deras system. Samtidigt ger tekniken programmerare större möjligheter att hitta fel i sin egen kod, och rätta till dem innan någon hinner utnyttja dem.
Daniel Stenberg hör till dem som tror att AI-verktygen kommer leda till bättre IT-säkerhet i slutändan.
– Men problemet är att det blir en plötslig explosion, en tid när vi hittar väldigt många fel. Vi kommer rätta till mycket, men en del kommer kanske inte hinna med allt. Det kan bli en tid när inte alla har hunnit fixa allt.
Mythos
AI-modellen Mythos utvecklas av företaget Anthropic, känt för AI-assistenten Claude.
Enligt Anthropic hade Mythos oöverträffad förmåga att hitta säkerhetshål, som kan utnyttjas av hackare för att begå dataintrång. Den skulle därför inte släppas till allmänheten direkt, utan en samling stora techbolag skulle få ett försprång. Idén var att de skulle hitta säkerhetshålen före kriminella och andra som vill utnyttja dem.
Samarbetet kallades Project Glasswing. Bland andra Amazon, Microsoft, Google, Apple och Linux foundation ingår.
