A Anthropic divulgou que uma comunidade privada do Discord acessou seu modelo de pré-visualização Claude Mythos no mesmo dia em que a empresa lançou publicamente o sistema de IA. O grupo, que se concentra em reunir informações sobre modelos não lançados, supostamente adivinhou o endpoint do modelo aproveitando o conhecimento das convenções de URL da Anthropic. Ao fazer isso, eles entraram em um ambiente de fornecedor terceirizado que hospedava o modelo, contornando a própria infraestrutura da Anthropic.

"Estamos investigando um relatório que alega acesso não autorizado ao Claude Mythos Preview por meio de um de nossos ambientes de fornecedor terceirizado", disse a empresa em um comunicado. A Anthropic acrescentou que, até o momento, não encontrou evidências de que o incidente tenha impactado seus sistemas centrais ou se espalhado além do ambiente do fornecedor.

Claude Mythos é uma IA de segurança cibernética altamente especializada, capaz de identificar autonomamente milhares de vulnerabilidades zero-day desconhecidas em principais sistemas operacionais e navegadores, e gerar exploits funcionais. Em testes internos, o modelo vinculou múltiplas vulnerabilidades para escapar de sandbox de renderização e sistema operacional - uma tarefa que normalmente exigiria meses de esforço de especialistas.

Para mitigar o risco de armazenar tais capacidades, a Anthropic introduziu o Projeto Glasswing, limitando o acesso a doze parceiros de lançamento nomeados - incluindo Amazon Web Services, Apple, Microsoft, Google, Nvidia e Palo Alto Networks - além da própria Anthropic. Cerca de 40 organizações adicionais receberam acesso temporário, e o lançamento foi acompanhado de $100 milhões em créditos de uso e $4 milhões em doações para projetos de segurança de código aberto.

O acesso não autorizado subverte a premissa do lançamento restrito. Embora o grupo que infiltrou descreva suas motivações como impulsionadas pela curiosidade, a capacidade do Mythos de produzir código armazenável significa que a intenção offers pouca proteção contra o mau uso.

A violação também carrega peso político. Ela chegou um dia após o ex-presidente Donald Trump sugerir um acordo do Pentágono com a Anthropic como "possível" na CNBC, e enquanto a Anthropic processa o Departamento de Defesa sobre uma designação de lista negra, o incidente fornece aos críticos um exemplo tangível dos desafios na governança do acesso a ferramentas de IA avançadas.

A investigação da Anthropic aponta para um modo de falha específico: a lacuna entre os controles de segurança internos da empresa e os de um contratante terceirizado com credenciais de acesso. Em vez de uma intrusão clássica, os atores exploraram o ambiente do fornecedor, destacando a necessidade de uma supervisão mais rigorosa de parceiros externos que hospedam modelos de IA de alto risco.

À medida que a indústria de IA luta para equilibrar as capacidades defensivas e o potencial de mau uso, o incidente do Mythos pode provocar salvaguardas contratuais mais rigorosas e uma verificação mais rigorosa de ambientes de fornecedores. Por enquanto, a Anthropic permanece focada em confirmar que seus sistemas centrais estão intactos, enquanto avalia como a violação pode influenciar as batalhas legais e regulatórias em andamento.

Usado: News Factory APP - descoberta e automação de notícias - ChatGPT para Empresas