Detta är en kommenterande text. Skribenten svarar för analys och ställningstaganden i texten.
”AI-modellen har nått en så hög nivå av programmeringskunskap att den utklassar nästan alla människors förmåga att hitta sårbarheter i mjukvara.”
Så skriver Anthropic, ett av de viktigaste AI-bolagen invid Open AI och Google, om sin senaste uppfinning. En AI-modell som sägs ha en makalös förmåga att hitta säkerhetshål som hackare kan utnyttja. Enligt Anthropic har den redan gjort det. Mythos, som modellen heter, ”har redan hittat tusentals mycket allvarliga sårbarheter, inklusive vissa i alla stora operativsystem och webbläsare”.
Om det stämmer så vore det livsfarligt att låta vem som helst använda systemet. Kriminella hackare och elaka spioner skulle kunna hitta säkerhetshål som ingen har koll på och ta sig in lite var som helst. Därför startade Anthropic ”Project Glasswing”, där en rad av de viktigaste techbolagen – som Google, Microsoft, Apple och stiftelsen bakom Linux, får tillgång till den. Syftet: The good guys ska få hitta och laga säkerhetshålen i sina egna system innan the bad guys upptäcker dem.
Det är ett ansvarsfullt sätt att hantera farligt kraftfull teknik. Det är också ett utmärkt pr-trick. ”Vi är helt enkelt för bra”, kan Anthropic signalera utan att säga det rakt ut. ”Vi är så bra att det vi skapar är farligt.” En fråga som blir hängande i luften är varför inte Anthropics främsta konkurrent, Chat GPT-utvecklaren Open AI, bjöds in till projektet. Eller Meta, vars chattprogram Whatsapp gång på gång har varit utsatt för spionage. Om syftet nu var att rädda världen och ingenting annat.
En av dem som ska få tillgång till Mythos är svensken Daniel Stenberg. Han står bakom Curl, en av de mest använda mjukvarorna i världen. Enkelt uttryckt är det en komponent som andra bygger in i sina program, vilket gör att den lär finnas i över tio miljarder enheter – allt från sportbilar till mobiltelefoner och datorer. Ett allvarligt säkerhetshål i Curl kan därför vara smått katastrofalt.
– Än så länge känns det som snack och marknadsföring, säger Daniel Stenberg om Anthropics utspel.
Innan han har sett vad modellen klarar av tänker han inte dra på de största växlarna. Däremot skriver han under på att stora språkmodeller, som denna typ av AI-system kallas, har blivit betydligt bättre på att hitta säkerhetshål.
– I fjol dubblades antalet inrapporterade buggar. I år har de dubblats igen. Det är uppenbart att nästan alla är skapade med AI, säger han.
Många rapporter betyder dock inte att de är bra. Under fjolåret blev han fullkomligt överöst av buggrapporter av så låg kvalitet att de i många fall var helt oanvändbara. Folk helt utan kunskap tycktes ha sagt åt Chat GPT att leta säkerhetshål i koden och skickat in vilket svammel som helst.
Det gick så långt att han tvingades sluta betala ut belöningar för tips om allvarliga säkerhetshål.
Men sedan hände något. Rapporterna blev allt bättre, trots att de var AI-genererade.
– Förr var det skakigt, men nu har kvaliteten verkligen gått upp. Jag använder flera sådana verktyg redan. De analyserar kod på ett sätt som människor inte kan. Nu säger Anthropic att de har nått en ännu högre nivå. Om det stämmer eller inte är svårt att säga.
Anthropic redovisar åtminstone några exempel på vad Mythos har hittat redan. Bland annat en säkerhetsbugg i operativsystemet Open BSD som hade legat gömd i koden i 27 år. ”Sårbarheten gjorde att en angripare kan krascha en maskin som kör detta operativsystem på distans genom att bara koppla upp sig mot den”, skriver Anthropic.
Möjligen bygger Anthropic hajp med sitt Project Glasswing. Kanske är det företagets känga mot USA:s regering, som nyligen bestämde att Anthropics AI-system skulle kastas ut från Pentagon. Detta eftersom de vägrade låta militären använda tekniken hur som helst.
Det råder i alla fall ingen tvekan om att det pågår en kapprustning inom AI-driven cybersäkerhet, mellan brottslingar, spioner och techbolag.
Läs mer: AI-bolaget sade nej till ”mördarrobotar” – blev Trumps hatobjekt
