Недавно все мы услышали громкое заявление Anthropic «наша модель Mythos очень опасна из-за своих хакерских способностей». Когда (пока) к модели нет массового доступа, человечеству сложно проверить, как все обстоит на самом деле, а хайп разгонял ряд событий:
-
в США и Великобритании прошли экстренные совещания в банковском секторе о том, как действовать в новых реалиях;
-
OpenAI представили свой «вариант для кибербезопасности» GPT‑5.4‑Cyber;
-
а сервис cal.com заявил, что из опенсорсного станет закрытым, потому что обеспечивать безопасность открытого кода теперь слишком сложно.
Но. Появились первые сторонние тексты с анализом способностей Mythos. Это позволяет получить хотя бы частичное, не по заявлениям Anthropic, понимание ситуации. Поэтому мы собрали их в один хабрапост, чтобы разобраться: что в Mythos миф, а что реальность, и насколько стоит обращать внимание на происходящие?
AISI
Пока что самый значимый текст — от британской государственной организации AI Security Institute. Там получили доступ к Mythos, так что не просто вещают с дивана, а делятся результатами собственной проверки его способностей. И выводы делают аккуратные, не впадая в крайности.
AISI пишут, что уже три года проверяют способности моделей в задачах информационной безопасности. И все это время видят, как способности постепенно и неуклонно растут. Теперь и Mythos продолжает этот тренд.
То есть, с одной стороны, в тексте подтверждают: произошел шаг вперед, такого уровня еще не было. Но с другой — говорят, что это ожидаемый шаг, а не какой-то неожиданный гигантский скачок.
Например, у AISI для проверки есть наборы «легких CTF-заданий». И там модель укладывается в общую картину, где и без нее все постепенно подбирается к результатам в 100%. Этот график приведен в начале нашего текста.
Впрочем, теперь-то актуальнее уже не «легкий» уровень: его можно считать почти пройденным, там и другие модели показывают схожие результаты. Интереснее, что у AISI есть и набор задач уровня «эксперт». И всего лишь год назад модели с такими вообще не справлялись.
А теперь Mythos осилил 73% из самого сложного набора, став первой моделью с таким результатом:
Но еще интереснее другое задание. Даже «экспертные» CTF-задачи проверяют только какое-то одно умение модели в отдельности. А в реальных кибератаках зачастую важна способность применять целый ряд разных «вещей», которые малозначимы по отдельности, но вместе могут привести к масштабному практическому результату.
Anthropic уже сами упоминали, что модель научилась «комбинировать уязвимости». Но теперь появилась сторонняя проверка: в AISI использовали собственный тест «The Last Ones», симулирующий «проведение атаки на корпоративную сеть».
По их словам, для полного успеха в нем необходимо осуществить 32 разных шага. И ранее ни одна модель не справлялась полностью со всеми, в тесте получалось достичь лишь частичного результата с частью шагов. А вот Mythos стала первой, у которой хотя бы в 3 попытках из 10 получилось пройти тест полностью.
При этом в AISI оговариваются, что проводить атаки в реальности может быть сложнее, потому что в тесте не используется часть возможных защитных систем.
И выводы в посте получаются такими:
Во-первых, уязвимыми перед Mythos окажутся в первую очередь небольшие и слабо защищенные энтерпрайзные системы. Вот их владельцам сейчас пора действовать. И главные шаги — попросту внедрить у себя все те защитные меры, которые в индустрии давно известны, просто не везде применяются.
А во-вторых, раз есть долгий и неуклонный тренд роста способностей ИИ в подобных вопросах, то вероятно, что будущие модели будут еще способнее. Так что задумываться о кибербезопасности теперь надо обязательно, причем сами ИИ-модели могут в ней помогать: благодаря им удастся не только эксплуатировать уязвимости, но и закрывать их.
Так что из текста AISI напрашивается вывод, что в шумихе вокруг Mythos есть и миф, и реальность.
-
Миф: появилась сенсационная модель, меняющая все в кибербезопасности.
-
Реальность: ИИ становится все способнее в инфобезопасности, думать об этом тренде надо, а Mythos своими результатами обращает на это внимание.
***
Дрю Брюниг
Второй любопытный текст — пост техноблогера Дрю Брюнига, который прочитал текст AISI и развил мысль дальше. В их графике «задания из 32 шагов» он обратил внимание на фактор, который сами AISI подробно не расписывали.
В основном тут бросается в глаза, что Mythos оказался способнее всех предыдущих моделей. Но Дрю посмотрел внимательно на ось абсцисс, показывающую, что на попытку пройти все 32 шага «The Last Ones» моделям выделяли по 100 миллионов токенов.
И как можно увидеть, им действительно требовалось так много: заметная часть прогресса происходила уже после 50 миллионов токенов. Получается, если хочешь, чтобы модель зашла далеко, надо быть готовым выделить ей на это много ресурсов.
В тексте AISI и официальных постах Anthropic об этом почти не говорят. Там просто тратят любое количество токенов без раздумий, а рассуждают лишь о том, каких результатов удалось достичь.
Однако Mythos — модель не только мощная, но и дорогая. Запросто использовать в ней такое количество токенов смог бы позволить себе далеко не каждый. И это значит, что в реальности здесь добавляется новый фактор: да, появился новый мощный инструмент для поиска уязвимостей, но кто может позволить себе активно его использовать?
И, по мнению Брюнинга, вся битва «атаки и защиты» в кибербезопасности тут превращается в битву кошельков. Хочешь, чтобы тебя не взломали? Будь готов потратить на поиск уязвимостей с помощью ИИ-моделей больше, чем готовы потратить на твой взлом хакеры.
Брюнинг также считает, что это играет на руку опенсорсу. Когда есть какое-то популярное решение, такое, что крупные корпорации зависят от него и готовы вкладываться в его защиту, оно может оказаться «как следует проверенным». И собственноручно собранным «велосипедам» будет сложно с ним тягаться.
Этот тезис идет вразрез с другими мнениями. Недавно, на фоне взломов LiteLLM и Axios, часть людей рассуждала, что сейчас как раз «безопаснее самому что-то имплементировать, чем пользоваться опенсорсом, подвергаясь риску атаки на цепочку поставок».
Наконец, Брюнинг пишет, что если раньше создание кода можно было делить на этапы «разработка» и «ревью», то теперь добавится отдельный этап «закалка» с ИИ-проверкой на уязвимости. И насколько он будет подробным, зависит от бюджета каждого проекта.
Из записи Брюнинга также следует, что в шумихе вокруг Mythos есть и миф, и реальность.
-
Миф: сейчас любой школьник будет успевать еще до завтрака найти три уязвимости в ядре Linux. Нет, даже если бы Anthropic открыли свою модель для всех, далеко не всем это было бы доступно.
-
Реальность: обнаружение уязвимостей становится доступнее, но пока что тем, кто может себе это позволить.
Aisle
Наконец, третий текст — от компании Aisle, занимающейся кибербезопасностью. В нем тоже рассмотрели вопрос «с учетом финансового фактора», но иначе.
В Aisle попробовали проверить, «как небольшие открытые модели способны справиться с задачами, которые решает Mythos». Для этого взяли те уязвимости, которые перечислены в тексте Anthropic. Попробовали найти их с помощью небольших моделей, и во многих случаях формально сумели.
Но есть разница: в Aisle «подсказывали» моделям, на что именно нужно обратить внимание. В то время как Mythos, по утверждению Anthropic, находил уязвимости без каких-либо подсказок, просто анализируя поочередно разные файлы проекта.
Так что к методологии эксперимента Aisle многие предъявляют претензии. Однако при этом интересно обратить внимание на другие тезисы их текста.
Aisle обращает внимание на то, что задачи кибербезопасности — это не «монолит», который можно отдавать одной модели лишь целиком. В этой большой задаче содержится целый ряд подзадач, которые можно поручать разным моделям (или делать самостоятельно).
Еще специалисты Aisle пишут, что способности небольших моделей очень неравномерны: в чем-то они очень ярко проявляют себя, с чем-то совсем не справляются. И поэтому возможна ситуация, когда небольшая модель хорошо применима к каким-то отдельным подзадачам.
Здесь становится актуальна финансовая сторона вопроса. Если Mythos — дорогая модель, а с конкретной подзадачей вполне справляется другая, которая дешевле, зачем переплачивать? Многие предпочли бы применять в каждом конкретном случае то, чего достаточно для этого самого случая.
И вывод у компании получается таким. Да, Mythos — это шаг вперед и самая мощная на сегодня модель в вопросах кибербезопасности. Но нет, из этого не следует, что с ее появлением все перевернулось. С частью подзадач все осталось как было, потому что с ними и модели попроще справляются.
В общем, у Aisle тоже получается, что миф и реальность соседствуют.
-
Миф: «Теперь надо срочно заменить все инструменты безопасности на Mythos».
-
Реальность: «Mythos полезен как мощный и дорогой инструмент, но для многих могут быть актуальны и варианты попроще».
В заключение
Для окончательных выводов стоит подождать, пока информации станет больше. Например, сейчас непонятно, каких именно масштабов окажется поток уязвимостей, обнаруженных Mythos.
Но уже сейчас можно сказать аккуратно: из имеющихся текстов следует, что не стоит ударяться в крайности. И «Mythos прорыв», и «Mythos ерунда» — слишком резкие позиции.
А общий вывод получается в следующем. Непосредственно вокруг Mythos может быть излишняя шумиха, но полезно обратить внимание на другое: как в целом растут возможности LLM в вопросах инфобезопасности. Главное — не «какие у Mythos способности сейчас», а «какой прогресс произошел за последний год».
Ведь позже появятся новые модели от разных компаний. И с высокой вероятностью они уже в этом году превзойдут Mythos в поиске уязвимостей. Также они могут повторять его достижения дешевле, сделав их доступнее широкому кругу людей (в том числе злоумышленников). Причем это могут быть открытые модели, которые в принципе не ограничишь так узким кругом пользователей, как это сделал Mythos.
В таком случае ситуация с уязвимостями может стать очень напряженной. По крайней мере, пока не будут устранен большая часть тех, которые уже много лет присутствуют в крупных проектах, но раньше оставались незамеченными.
И сейчас разумнее, может быть, готовиться к этому новому миру. Конкретная модель не переворачивает в одиночку весь мир, это миф. Но вот тот тренд, на который она указывает, дальше может многое поменять — и это уже реальность.
Автор: mesh_up
