Anthropic sta per avere una conversazione molto seria con la commissione finanziaria globale sul suo modello AI Claude Mythos, che ha gli esperti che cercano i sali da fiuto per il suo potenziale di distruggere le difese informatiche.
La startup statunitense informerà il Financial Stability Board (FSB), presieduto nientemeno che dal governatore della Banca d'Inghilterra Andrew Bailey, sulle implicazioni di Mythos. Perché cosa potrebbe mai andare storto quando si lascia al mondo un'AI molto brava a trovare buchi nei sistemi IT?
Anthropic ha saggiamente rifiutato di rilasciare Mythos al pubblico, avendo annunciato che il modello AI ha capacità avanzate nell'evidenziare falle precedentemente sconosciute nei sistemi IT - falle che gli hacker amerebbero sfruttare. Invece, l'azienda ha dato accesso a un gruppo selezionato di aziende tecnologiche e banche, tra cui Apple e JP Morgan, per aiutarle a identificare eventuali debolezze che l'AI potrebbe fiutare. Il piano dell'FSB, riportato per la prima volta dal Financial Times, è stato confermato da una fonte a conoscenza delle discussioni del regolatore con Anthropic.
L'AI Security Institute (AISI) del Regno Unito, che valuta i modelli AI avanzati, ha emesso una valutazione aggiornata di Mythos la scorsa settimana dopo aver esaminato la versione rilasciata a banche e aziende tecnologiche. Ha detto che l'ultima iterazione rappresentava un "notevole salto di capacità" anche rispetto alla versione di anteprima testata il mese precedente. L'AISI ha notato che l'ultima versione di Mythos ha completato un test di cybersecurity precedentemente irrisolto, chiamato "torre di raffreddamento", in tre tentativi su dieci - un primato per qualsiasi modello testato dall'istituto.
"La capacità autonoma di cyber e software dell'AI di frontiera sta avanzando rapidamente: la lunghezza dei compiti cyber che i modelli di frontiera possono completare autonomamente è raddoppiata nell'ordine di mesi, non anni," ha detto l'AISI, aggiungendo che sta sviluppando nuovi e più difficili test di hacking per tenere traccia dei progressi dei modelli AI. Perché a quanto pare i vecchi test non bastano più.
L'FSB monitora e formula raccomandazioni sul sistema finanziario globale e include funzionari delle principali economie tra cui Stati Uniti, Regno Unito, Australia e Cina. Il suo comitato direttivo include alti funzionari delle banche centrali e dei ministeri delle finanze. Questo mese, il Fondo Monetario Internazionale ha affermato che i rischi per la stabilità finanziaria stanno aumentando a causa degli sviluppi "in rapido movimento" dell'AI e ha chiesto una risposta coordinata. "Il rischio informatico non rispetta i confini. Con la diffusione delle capacità AI tra i paesi, una supervisione incoerente potrebbe indebolire un sistema globalmente interconnesso," ha detto l'FMI in un post sul blog, chiaramente non dell'umore per understatement.
Il mese scorso, l'amministratore delegato di Goldman Sachs David Solomon ha detto di essere "iper-consapevole" delle capacità di Mythos, mentre il suo omologo di JP Morgan Jamie Dimon ha notato che l'AI ha reso la difesa informatica "più difficile" anche se alla fine potrebbe aiutare le aziende a difendersi dagli hacker. Altri esperti hanno cercato di calmare le acque, sostenendo che Mythos rappresenta un'evoluzione delle minacce informatiche piuttosto che una rivoluzione. Gli esperti di cybersecurity avvertono che la maggior parte delle violazioni proviene ancora da rischi ben consolidati come l'autenticazione debole e vulnerabilità già note che non sono state corrette. Quindi, sapete, non dimenticate di aggiornare le vostre password.
Quando gli è stato chiesto della notizia che l'FSB avrebbe valutato i rischi di Mythos alla conferenza City Week di Londra, l'amministratore delegato della Financial Conduct Authority Nikhil Rathi ha detto che gli sviluppi dell'AI sono stati un "argomento significativo di conversazione" alle riunioni dell'FMI a Washington il mese scorso. Ha notato che Bailey era "impegnato" sulla questione e che c'era cooperazione con le autorità statunitensi. Rathi ha anche sottolineato le linee guida rilasciate dai regolatori britannici e dal Tesoro la scorsa settimana, che hanno diretto le aziende a "raddoppiare" sull'"igiene informatica di base". Ciò significava "aver esaminato i propri sistemi legacy, avere buoni meccanismi di rilevamento, avere una buona governance in atto, pensare a come recuperare, pensare alla propria assicurazione", ha detto. Rathi ha aggiunto che "Anthropic ha agito in modo abbastanza corretto"