Anthropic ukrywa Claude Mythos przed światem. FSB chce wiedzieć dlaczego

Anthropic wypuścił model AI, który potrafi znajdować luki w zabezpieczeniach lepiej niż cokolwiek dotychczas. I od razu go schował. Nie dostaniesz dostępu. Ja też nie. Dostały go Apple, JP Morgan i garstka wybranych. Reszta świata? Czeka na decyzję Financial Stability Board - globalnego nadzorcy finansowego, któremu przewodniczy szef Banku Anglii.

To nie jest zwykły update modelu. Po raz pierwszy firma AI publicznie przyznaje: "Ten model jest zbyt niebezpieczny, żeby go wypuścić". I teraz musi tłumaczyć się przed regulatorami.

Model, który znalazł to, czego nikt wcześniej nie widział

Claude Mythos to model AI wyspecjalizowany w cyberbezpieczeństwie. Jego zadanie? Skanować systemy IT i wykrywać luki, o których istnieniu nikt nie wiedział. Narzędzie dla dobrych - równie dobrze sprawdzi się w rękach hakerów.

Brytyjski AI Security Institute (AISI) przetestował najnowszą wersję Mythosa. Werdykt: "znaczący skok możliwości" nawet w porównaniu z wersją sprzed miesiąca. Model rozwiązał test "cooling tower" - zadanie z cyberbezpieczeństwa, którego dotychczas nie przeszedł żaden AI. Udało mu się to w 3 na 10 prób.

AISI dodał coś, co powinno zaniepokoić każdego, kto zarządza infrastrukturą IT: "Autonomiczne możliwości AI w cyberbezpieczeństwie rosną szybko - długość zadań, które modele potrafią wykonać samodzielnie, podwoiła się w ciągu miesięcy, nie lat".

Innymi słowy: AI uczy się hakować szybciej, niż my uczymy się go bronić.

Dlaczego Anthropic nie chce go pokazać publicznie

Firma podjęła decyzję, której nie widzieliśmy wcześniej w tej skali - model nie trafił do publicznej sprzedaży. Zamiast tego Anthropic dał dostęp zamkniętej grupie: Apple, JP Morgan i kilku innym gigantom tech i finansowym.

Oficjalny powód? Obawy, że hakerzy wykorzystają Mythosa do znajdowania luk w systemach, zanim zdążą je załatać właściciele. Klasyczny dylemat podwójnego zastosowania: to samo narzędzie, które pomaga bronić, może służyć do ataku.

Wybrane firmy dostały dostęp po to, by mogły sprawdzić własne systemy. Apple może przeskanować iOS. JP Morgan - infrastrukturę bankową. Reszta świata patrzy z boku.

Financial Stability Board chce teraz wiedzieć, jak Anthropic zamierza zarządzać tym ryzykiem. I czy zamknięty dostęp to wystarczające zabezpieczenie.

Co robi FSB i dlaczego to ważne

Financial Stability Board to międzynarodowa organizacja monitorująca globalny system finansowy. Przewodniczy jej Andrew Bailey, szef Banku Anglii. FSB nie ma władzy regulacyjnej - jego rekomendacje trafiają jednak do rządów i banków centralnych na całym świecie.

Jeśli FSB stwierdzi, że Mythos stanowi zagrożenie dla stabilności finansowej (a systemy bankowe to oczywisty cel ataków), może zalecić ograniczenia. Albo wręcz przeciwnie - zażądać szerszego dostępu dla instytucji finansowych.

Po raz pierwszy globalny nadzorca finansowy bezpośrednio angażuje się w kwestię konkretnego modelu AI. Nie chodzi już o ogólne zasady. Chodzi o jeden konkretny system, który może zmienić równowagę sił w cyberbezpieczeństwie.

AISI tworzy nowe testy - stare się skończyły

Brytyjski instytut bezpieczeństwa AI przyznał otwarcie: musimy stworzyć trudniejsze testy. Mythos rozwiązał zadania, które miały być barierą przez kolejne miesiące. Teraz ta bariera nie istnieje.

AISI pracuje nad nowymi benchmarkami hakowania - trudniejszymi, bardziej złożonymi, bliższymi rzeczywistym scenariuszom ataków. Problem? Modele uczą się szybciej, niż instytut tworzy testy.

To wyścig, którego nikt nie chce przegrać - nikt też nie wie, jak go wygrać. Każdy nowy test to jednocześnie instrukcja dla modeli, jak się poprawić. Każda publikacja wyników to dane treningowe dla następnej generacji.

Co to zmienia dla polskich firm

Jeśli prowadzisz firmę w Polsce i masz jakąkolwiek infrastrukturę IT (a masz), to dotyka Cię to bezpośrednio. Nie chodzi o to, że dostaniesz dostęp do Mythosa - nie dostaniesz. Dlatego, że ktoś inny może go dostać.

Hakerzy nie czekają na oficjalne wydania. Jeśli Mythos wycieknie (a historia pokazuje, że modele wyciekają), będziesz miał do czynienia z narzędziem, które znajdzie luki w Twoim systemie szybciej niż Twój zespół IT.

Polskie firmy podlegają unijnym regulacjom AI Act, które wymagają oceny ryzyka systemów wysokiego ryzyka. Jeśli Twoja firma obsługuje dane finansowe, medyczne lub infrastrukturę krytyczną - Mythos to właśnie ten rodzaj zagrożenia, przed którym AI Act miał chronić.

Tylko że regulacje dotyczą tego, co robisz Ty. Nie tego, co robią hakerzy z narzędziami, których nie powinni mieć.

Najczęstsze pytania

Czy Anthropic udostępni Claude Mythos publicznie?

Na razie nie. Firma zdecydowała się na zamknięty dostęp dla wybranych partnerów - głównie banków i gigantów technologicznych. Nie ma oficjalnej daty publicznego wydania i nie wiadomo, czy w ogóle nastąpi.

Dlaczego model AI do cyberbezpieczeństwa jest niebezpieczny?

Mythos wykrywa nieznane wcześniej luki w systemach IT - tzw. zero-day vulnerabilities. To samo narzędzie, które pomaga firmom znaleźć i załatać dziury w zabezpieczeniach, może być użyte przez hakerów do ataków, zanim właściciele systemów zdążą zareagować.

Co zrobi Financial Stability Board z informacjami od Anthropic?

FSB przeanalizuje zagrożenia i może wydać rekomendacje dla banków centralnych i rządów. Nie ma władzy regulacyjnej, jego zalecenia mają jednak realny wpływ na politykę finansową na całym świecie. Może zalecić szerszy dostęp dla instytucji finansowych - albo dodatkowe ograniczenia.

Czy polskie firmy mogą dostać dostęp do Claude Mythos?

Teoretycznie tak, jeśli są wystarczająco duże i strategicznie ważne. Praktycznie - na razie dostęp mają tylko wybrane globalne korporacje. Mniejsze firmy, w tym większość polskich przedsiębiorstw, pozostają poza kręgiem wybranych.