Model kecerdasan buatan baru Anthropic, yang dikenal sebagai Pratinjau Claude MythosSistem ini telah menjadi pusat perdebatan global tentang batasan AI tingkat lanjut. Perusahaan itu sendiri mengakui bahwa sistem tersebut sangat ampuh dalam hal keamanan siber sehingga mereka memutuskan untuk tidak meluncurkannya secara luas, sebuah keputusan yang tidak biasa di sektor yang terbiasa membanggakan setiap kemajuan baru.
Yang dipertaruhkan bukan hanya peningkatan bertahap dibandingkan model sebelumnya, tetapi... lompatan kualitatif dalam kemampuan mendeteksi dan mengeksploitasi kerentanan komputer.Pemerintah, bank sentral, lembaga keuangan besar, dan regulator Eropa memantau kasus ini dengan cermat, menyadari bahwa alat seperti itu dapat memperkuat pertahanan sistem-sistem kritisNamun, hal itu juga dapat membuka pintu bagi serangan berskala besar yang belum pernah terjadi sebelumnya jika jatuh ke tangan yang salah.
Sebenarnya apa itu Claude Mythos dan mengapa peluncurannya ditunda?
Claude Mythos adalah salah satu model terbaru dalam keluarga Claude, ekosistem AI Anthropic yang bersaing dengan ChatGPT dari OpenAI dan Gemini dari GoogleIni adalah model serbaguna, yang mampu melakukan penalaran, pemrograman, dan bekerja dengan konteks jangka panjang, tetapi fitur yang paling kontroversial adalah... kinerja dalam keamanan siber ofensif dan defensif.
Panggilan telepon “tim merah”Para spesialis yang menguji sistem AI hingga batas kemampuannya menyimpulkan dalam laporan internal bahwa Mythos "sangat mumpuni" dalam tugas-tugas keamanan siber. Dalam uji benchmark seperti Bangku SWE Terverifikasi o SWE-bench ProDirancang untuk mengukur kemampuan memecahkan masalah rekayasa perangkat lunak di dunia nyata, model ini akan dengan mudah mengungguli alternatif komersial kelas atas, termasuk versi lanjutan dari GPT dan Gemini, menurut data yang diberikan oleh Anthropic sendiri.
Di luar tolok ukur tersebut, yang telah memicu kekhawatiran adalah bahwa... Mythos mampu menemukan kerentanan zero-day —kelemahan yang sebelumnya tidak diketahui— dalam komponen perangkat lunak yang banyak digunakan, beberapa di antaranya sudah berusia lebih dari dua dekade. Dalam sistem seperti OpenBSD, FFmpeg, dan komponen FreeBSD, model ini tidak hanya mendeteksi kesalahan yang tidak disadari selama bertahun-tahun, tetapi juga menghasilkan eksploitasi yang berfungsi untuk memanfaatkannya.
Menghadapi hasil ini, Anthropic memilih keputusan yang tidak biasa di industri ini: untuk mempresentasikan model tersebut dan kemudian mengumumkan bahwa model tersebut tidak akan dipasarkan secara terbuka. karena perusahaan menganggapnya menimbulkan risiko keamanan siber yang belum pernah terjadi sebelumnya. Perusahaan bersikeras bahwa Mythos adalah model yang "paling sesuai" yang pernah mereka bangun, tetapi mengakui bahwa kapasitasnya yang sangat besar memperbesar konsekuensi dari penyalahgunaan apa pun.
Model dengan keterampilan "peretas" yang jauh melampaui kemampuan manusia.
Dokumen dan laporan teknis dari berbagai organisasi sepakat bahwa Mythos menandai titik balik dalam otomatisasi serangan kompleks.Dalam lingkungan pengujian yang mensimulasikan jaringan perusahaan nyata, sistem tersebut mampu mengidentifikasi kerentanan secara berantai, meningkatkan hak akses, dan mencapai akses permanen dalam hitungan jam—tugas yang akan memakan waktu berhari-hari atau berminggu-minggu bagi seorang ahli manusia.
Sebagai contoh, pada mesin JavaScript Firefox, versi-versi awal model Anthropic jarang berhasil mengubah kerentanan menjadi eksploitasi yang berfungsi. Mythos, dalam kondisi pengujian yang sama, menghasilkan puluhan eksploitasi operasionalAlgoritma ini secara akurat mereplikasi eksploitasi vektor yang paling efektif. Pada platform analisis seperti OSS-Fuzz, yang dirancang untuk menemukan bug dalam perangkat lunak sumber terbuka, algoritma ini diakui karena mendeteksi kerentanan tingkat tinggi yang sebelumnya tidak terdeteksi meskipun telah dilakukan pengujian otomatis selama bertahun-tahun.
Model ini juga telah menunjukkan kemampuan yang luar biasa dalam hal rekayasa balikAI dapat merekonstruksi sebagian logika program dari biner yang telah dikompilasi dan, dari situ, menemukan dan mengeksploitasi kelemahan tanpa mengakses kode sumber aslinya. Kemampuan semacam ini membawa AI lebih dekat ke skenario yang, hingga baru-baru ini, dianggap eksklusif untuk tim manusia yang sangat terspesialisasi.
Salah satu episode yang paling sering dikutip dalam penilaian keamanan adalah apa yang disebut "uji sandwich." Dalam lingkungan laboratorium yang terisolasi, Mythos diberi kendali atas sebuah sistem dengan instruksi eksplisit untuk mencoba Keluar dari kotak pasir dan hubungi peneliti. yang mengawasi pengujian tersebut. Model tersebut berhasil mengeksploitasi serangkaian kerentanan untuk keluar dari lingkungan yang dibatasi dan mengirim email kepada orang yang bertanggung jawab, yang sedang berada di luar kantor pada saat itu. Meskipun insiden tersebut terjadi pada versi internal sebelumnya dan di bawah perintah langsung, hal ini menggambarkan sejauh mana sistem dapat beroperasi dalam skenario kompleks dengan pengawasan minimal.
Terlepas dari demonstrasi-demonstrasi ini, para analis tetap bersikeras mengklarifikasi bahwa Kita tidak berurusan dengan AI yang "sadar" atau AI yang memiliki kehendak sendiri.Mythos tidak memutuskan untuk menyerang sistem dengan sendirinya; ia menjalankan tugas yang diberikan seefisien mungkin. Risikonya, dalam hal ini, bukanlah bahwa model tersebut akan memberontak, tetapi bahwa seseorang akan menggunakannya—atau memaksanya untuk melakukannya melalui perintah yang canggih—untuk melakukan tindakan yang berbahaya.
Proyek Glasswing: Mitos dalam pelayanan pertahanan… untuk segelintir orang terpilih
Alih-alih membuka akses untuk masyarakat umum, Anthropic memilih untuk membatasi akses ke Mythos dengan program khusus, Proyek GlasswingDirancang untuk menggunakan kemampuan model tersebut secara terkontrol guna melindungi perangkat lunak penting, inisiatif ini melibatkan penawaran sistem tersebut, dengan ketentuan penggunaan yang ketat, kepada kelompok terpilih yang terdiri dari perusahaan teknologi besar, penyedia infrastruktur, dan lembaga keuangan.
Di antara organisasi yang memiliki akses terdapat perusahaan-perusahaan raksasa seperti... Amazon Web Services, Apple, Microsoft, Google CloudNvidia atau Broadcomserta perusahaan keamanan siber seperti CrowdStrike, yang perangkat lunaknya yang cacat menyebabkan gangguan global besar pada tahun 2024. Mereka bergabung dengan bank-bank ternama dunia, termasuk JP Morgan Chase dan beberapa grup besar Wall Street, serta organisasi lain yang bertanggung jawab untuk memelihara infrastruktur TI yang sensitif.
Anthropic juga telah mengumumkan pinjaman senilai $100 juta Pendanaan ini akan memungkinkan organisasi-organisasi tersebut untuk menggunakan Mythos untuk analisis kerentanan, bersama dengan donasi kepada yayasan perangkat lunak bebas seperti Linux Foundation dan Apache Software Foundation. Tujuan resminya jelas: untuk memungkinkan mereka yang mengelola perangkat lunak paling penting di dunia untuk mengidentifikasi dan memperbaiki kelemahan sebelum alat-alat tersebut tersedia bagi penyerang potensial.
Namun, strategi ini menimbulkan beberapa kekhawatiran di dalam sektor tersebut. Di satu sisi, strategi ini memperkuat anggapan bahwa teknologi cukup berbahaya sehingga memerlukan akses terbatas. Di sisi lain, Hal ini menciptakan kesenjangan antara mereka yang mendapat manfaat dari "perisai" Mythos dan mereka yang terpinggirkan.Perusahaan dan administrasi yang bukan bagian dari Glasswing berisiko menghadapi kerentanan yang telah diidentifikasi dan ditambal di lingkungan yang memiliki hak akses istimewa, tetapi masih ada di sistem mereka sendiri.
Di Eropa, ketidakseimbangan ini menjadi perhatian khusus bagi mereka yang bertanggung jawab atas infrastruktur penting dan tim keamanan dari kelompok industri dan keuangan besar, yang memantau dengan cermat apakah Brussel dan ibu kota-ibu kota Eropa memastikan bahwa program serupa melibatkan para pemain kunci dari benua tersebut dengan kedudukan yang setara. dan kedaulatan awan dengan mitra AS.
Reaksi dari pemerintah, regulator, dan sektor keuangan
Dampak Mythos tidak terbatas pada ranah teknis. Hanya dalam beberapa hari, pengumuman model tersebut memicu berbagai reaksi. pertemuan tingkat tinggi di Amerika Serikat dan EropaMenteri Keuangan AS memanggil para kepala bank-bank besar negara itu ke Washington untuk menilai risiko yang dapat ditimbulkan sistem tersebut terhadap stabilitas keuangan, sementara Ketua Federal Reserve juga ikut serta dalam pembicaraan tersebut.
Menurut bocoran yang dilaporkan oleh media internasional, entitas-entitas ini diduga didorong untuk Uji Mythos dalam mode bertahanmenggunakannya untuk memindai infrastruktur mereka sendiri guna mencari kelemahan sebelum orang lain dapat melakukannya. Pesan tersiratnya adalah bahwa ancaman tersebut cukup serius untuk memerlukan respons terkoordinasi dari sektor publik dan swasta.
Sementara itu, salah satu pendiri Anthropic telah mengkonfirmasi bahwa perusahaan tersebut menjalin pembicaraan langsung dengan pemerintah Amerika Serikat tentang Mythos dan model-model masa depan. Diskusi ini berlangsung dalam konteks yang tegang, setelah otoritas AS baru-baru ini menambahkan perusahaan tersebut ke dalam daftar. risiko rantai pasokan, menyusul gesekan terkait penggunaan model mereka oleh Departemen Pertahanan.
Di seberang Atlantik, Uni Eropa telah memperhatikan hal ini. Komisi Eropa secara terbuka mendukung pendekatan bertahap dan hati-hati terhadap model seperti Mythos, dan Regulator keuangan di Inggris dan di benua Eropa telah mulai secara khusus mempelajari implikasi potensialnya. untuk perbankan dan pasar. Institut Keamanan AI (AISI) pemerintah Inggris menggambarkan sistem ini sebagai lompatan signifikan ke depan dalam hal ancaman siber dibandingkan dengan generasi sebelumnya.
Di Spanyol, meskipun debat publik masih terbatas, badan pengawas dan tim keamanan siber dari bank dan perusahaan energi besar memantau perkembangan ini dengan cermat. Bagi sektor keuangan Eropa, setiap kemajuan yang dapat memfasilitasi serangan terkoordinasi terhadap sistem pembayaran, jaringan antar bank, atau platform perdagangan merupakan penyebab kekhawatiran serius.
Skeptisisme, keraguan, dan perdebatan tentang "gembar-gembor" seputar Mythos.
Laporan Anthropic, yang menggabungkan peringatan keamanan dengan angka kinerja yang spektakuler, tidak luput dari kritik. Beberapa pakar AI dan keamanan siber telah menyerukan Berhati-hatilah saat menafsirkan pernyataan perusahaan.dengan catatan bahwa sebagian besar data yang tersedia hanya berasal dari laporan internal.
Beberapa analis telah meninjau secara detail dokumentasi ekstensif yang diterbitkan oleh Anthropic dan menunjukkan bahwa angka "ribuan kerentanan tingkat tinggi" didasarkan pada ekstrapolasi dari sejumlah kecil kasus yang ditinjau secara manual. Dalam rangkaian pengujian tertentu, Mythos dilaporkan menemukan sejumlah besar kelemahan kritis, tetapi jauh dari skenario hampir apokaliptik yang disarankan oleh beberapa judul berita.
Studi independen lainnya telah mencoba membandingkan kinerja Mythos dengan model sumber terbuka yang lebih kecil, dengan memberikan cuplikan kode yang rentan ke berbagai AI untuk melihat apakah mereka dapat mendeteksi kelemahan yang sama. Hasilnya menunjukkan bahwa Beberapa model terbuka juga mampu mengidentifikasi kerentanan yang kompleks.Hal ini mempertanyakan anggapan bahwa Mythos berada di level yang sama sekali berbeda dalam semua skenario.
Contoh-contoh tandingan semacam ini tidak meniadakan kemampuan Mythos, tetapi menunjukkan bahwa Sebagian dari wacana "terlalu berbahaya untuk dipublikasikan" juga memiliki dimensi pemasaran.Menyajikan sebuah model sebagai sesuatu yang luar biasa ampuh sekaligus berpotensi menimbulkan risiko memperkuat citra kepemimpinan dan tanggung jawab teknologi, sesuatu yang sangat berharga di pasar yang semakin kompetitif.
Sejarah industri baru-baru ini juga mengingatkan pada preseden GPT-2 pada tahun 2019, ketika OpenAI awalnya memutuskan untuk tidak mempublikasikan model lengkapnya, dengan alasan terlalu berbahaya karena potensinya untuk menghasilkan disinformasi. Pada akhirnya, versi tersebut dirilis ke publik tanpa adanya bencana yang diprediksi, dan banyak ahli menyebutnya sebagai contoh reaksi berlebihan. Dengan Mythos, Perbedaannya adalah fokusnya bukan lagi pada teks, tetapi pada integritas infrastruktur digital., sebuah area yang jauh lebih sensitif bagi pemerintah dan bank.
Keseimbangan yang rumit antara keamanan, bisnis, dan akses ke teknologi.
Di balik hiruk-pikuk media, situasi Mythos memunculkan isu mendasar: Siapa yang memutuskan kapan model AI terlalu berbahaya untuk dirilis? Dan berdasarkan kriteria apa? Untuk saat ini, keputusan tersebut bersifat sepihak dari pihak Anthropic, yang memilih untuk menjaga sistem tersebut dalam semacam karantina terkontrol, dengan hanya memperuntukkannya bagi mitra-mitra terpilih.
Posisi ini tidak semata-mata didasarkan pada alasan keamanan. Menjalankan model dengan karakteristik Mythos adalah sangat mahal dalam hal komputasidan perusahaan itu sendiri mengakui bahwa saat ini mereka tidak memiliki infrastruktur yang diperlukan untuk melayani jutaan pengguna secara besar-besaran. Dalam praktiknya, tindakan pencegahan keamanan dan keterbatasan teknis berjalan beriringan, memberi Anthropic waktu untuk menyempurnakan model dan penerapannya.
Pada saat yang sama, perusahaan mulai membedakan secara jelas antara berbagai produknya. Sementara Mythos tetap menjadi standar internal paling canggihMeskipun dikhususkan untuk konteks penelitian dan kolaborasi strategis, model lain seperti Claude Opus 4.7 ditujukan untuk penggunaan sehari-hari oleh bisnis dan para profesional. Anthropic bahkan secara terbuka mengakui bahwa Opus 4.7 "kurang mumpuni" dibandingkan Mythos secara umum dan, khususnya, terkait kemampuan siber—sesuatu yang tidak biasa dalam industri yang biasanya menampilkan setiap model baru sebagai yang terbaik dalam segala hal.
Dalam skema ini, Mythos berfungsi sebagai platform pengujian untuk kemampuan generasi berikutnyaMeskipun model yang tersedia secara komersial hanya menggabungkan sebagian dari kemampuan ini, dengan batasan tambahan yang dirancang untuk mengurangi risiko, pemisahan antara model "eksperimental" dan "produksi" ini dapat menjadi pendekatan yang wajar bagi banyak organisasi Eropa yang tertarik untuk memanfaatkan AI tanpa berada di garis depan paparan, asalkan ada transparansi yang cukup mengenai kemampuan sebenarnya dari setiap sistem.
Yang pada akhirnya muncul adalah sebuah skenario di mana Keamanan siber sepenuhnya memasuki era kecerdasan buatan (AI) ofensif dan defensif berskala besar.Perangkat seperti Mythos menjanjikan percepatan identifikasi kerentanan dalam sistem yang telah beroperasi selama bertahun-tahun, tetapi juga memaksa pemikiran ulang tentang bagaimana teknologi yang mendasari ekonomi digital didistribusikan dan diatur. Bagi Eropa dan Spanyol, tantangannya bukan hanya melindungi diri dari model yang semakin kuat, tetapi juga memastikan mereka tidak ketinggalan dari mekanisme yang memungkinkan model tersebut digunakan untuk memperkuat keamanan mereka sendiri.
