In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi was haben sie euch für die werbung gezahlt? Oder wart ihr wirklich so naiv es für umsonst zu posten?
-
@bsi Konsequent zu Ende gedacht könnte es mittelfristig Schwachstellen bei Anthropic zu kaufen geben.
@flowrider @bsi Das ist IMHO das gruseligste Problem, da ja aktuell verzweifelt versucht wird, KI zu monetarisieren.
-
Dafür stellen mittlerweile immanent wichtige Open Source Projekte ihr Bug Bounty Programme ein und nehmen keine Bug Meldungen mehr an, weil sie nur noch mit Ai Slope überschüttet werden, wobei 99% gar keine Bugs sind. Das ist dann das Gegenteil von "wird sicherer".
Ich gebe mal ein konkretes Beispiel:
#curl is EVERYWHERE!!!!!
Curl ist quasi der kleine Stein im xkcd Comic, der das Internet zusammenhält. Es ist überall drin! Selbst auf dem Mars, um den Mond herum und in Atomkraftwerken genutzt.
Aber wie @bagder es auf der nächsten foss-north sicherlich dediziert darlegen wird, ist folgendes das Problem:
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi Naja, die meisten Sicherheistlücken, welche Claude Mythos gefunden haben, waren schon lange vorher bekannt. Es wird halt nichts in Softwaresicherheit investiert (kann man auch an den BSI toots über Citrix, Microsoftlücken usw. nachlesen).
Jeder (nicht nur Antrophic) kann so ein Modell erzeugen): 1) Static code analyzer, fuzzer über open source laufen lassen 2) Audit reports 3) Alles in einem LLM finetunen. Fertig. Das wird jeder großer Player mit einem Wimpernzug hinbekommen. -
@bsi Naja, die meisten Sicherheistlücken, welche Claude Mythos gefunden haben, waren schon lange vorher bekannt. Es wird halt nichts in Softwaresicherheit investiert (kann man auch an den BSI toots über Citrix, Microsoftlücken usw. nachlesen).
Jeder (nicht nur Antrophic) kann so ein Modell erzeugen): 1) Static code analyzer, fuzzer über open source laufen lassen 2) Audit reports 3) Alles in einem LLM finetunen. Fertig. Das wird jeder großer Player mit einem Wimpernzug hinbekommen.@bsi Da kommen allerdings dann keine neuen Lücken bei raus. Nur bekannte die nicht gefixed wurden, weil Geld gespart werden soll oder weil schon komplett abgedeckt durch Defense-in-Depth. Das Problem sind hier die Investitionen - bekannt sind die alle schon.
Der technische Anthropic Bericht übertreibt die Kritikalität, spart mit Details (ohje alles so schlimm können wir nicht teilen) und einige Fixes für kritischen Sicherheitslücken wurden durch ahem "update der Dokumentation" gefixt (botan) -
@bsi Da kommen allerdings dann keine neuen Lücken bei raus. Nur bekannte die nicht gefixed wurden, weil Geld gespart werden soll oder weil schon komplett abgedeckt durch Defense-in-Depth. Das Problem sind hier die Investitionen - bekannt sind die alle schon.
Der technische Anthropic Bericht übertreibt die Kritikalität, spart mit Details (ohje alles so schlimm können wir nicht teilen) und einige Fixes für kritischen Sicherheitslücken wurden durch ahem "update der Dokumentation" gefixt (botan)@bsi Die Kernellücke in BSD ist Panikmache. Niemand macht NFS über Internet verfügbar. Niemand sollte NFS ohne Authentifizierung und ohne Firewallregeln im privaten Netzwerk haben. Klar das solche Lücken einfach über Defense-in-Depth abgedeckt werden können => deswegen auch 20 Jahre keinen Fix (war sicher vorher bekannt). Dazu null Investionsbereitschaft von Softwarefriremn in Security (nur in Security wo ihr Geschäftsmodel bedroht wird)
-
@bsi Die Kernellücke in BSD ist Panikmache. Niemand macht NFS über Internet verfügbar. Niemand sollte NFS ohne Authentifizierung und ohne Firewallregeln im privaten Netzwerk haben. Klar das solche Lücken einfach über Defense-in-Depth abgedeckt werden können => deswegen auch 20 Jahre keinen Fix (war sicher vorher bekannt). Dazu null Investionsbereitschaft von Softwarefriremn in Security (nur in Security wo ihr Geschäftsmodel bedroht wird)
@bsi Meines Erachtens falscher Fokus (unbegründete Panik). Statdtdessen sollte man sich auf Microsegmentation, Internet Egress Filtering, besseres Patch Management, bessere Ausbildung, bessere Software ohne Sicherheitslücken, minimale Zugriffsrechte usw. fokussieren. Dann kann man viele Sachen abfangen, obwohl Lücken in der Software vorhanden sind.
Dazu müssen auch die großen Softwarefirmen für ihre Sicherheitslücken, über die das BSI regelmäßig berichtet, zur Verantwortung gezogen werden. -
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi siehe auch https://www.redhat.com/en/blog/navigating-mythos-haunted-world-platform-security
"Functionality vs. Security: Some vulnerabilities identified by AI are actually functionality bugs with no meaningful exploit path."
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi Siehe https://cyberplace.social/@GossiTheDog/116390978622304265
Antrophic Mythos ist ein Marketinggag
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
@bsi Others are able to reproduce Mythos capabilities with cheap open source models: https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier
Mythos just uses trivial techniques (paraphrasing outputs of static code analyzers, fuzzers. formal logic etc.). The problem is that companies do not invest in secure software (as you can see from the BSI announcements - Microsoft, Citrix etc. do on purpose not invest in security). Investing in Mythos is waste of money - instead invest in proper security
-
In dieser Woche hat das US-Unternehmen Anthropic sein neues Spitzenmodell im Bereich der Künstlichen Intelligenz (KI) angekündigt.
Claude Mythos soll Sicherheitslücken in Software noch effektiver finden können als bisherige KI-Modelle, darunter zahlreiche schwerwiegende Lücken in Betriebssystemen und Browsern. Dies könnten sich potenziell auch Cyberkriminelle zunutze machen. Nach Angaben des Herstellers soll Claude Mythos nicht öffentlich verfügbar werden. 🧵 [1/x]
-
R relay@relay.infosec.exchange shared this topic
