דליפת אבטחה מביכה

קבוצה של משתמשים בלתי מורשים השיגה גישה ל-Mythos, כלי אבטחת הסייבר המתקדם של Anthropic, כך עולה מדיווח ב-Bloomberg השבוע. המקרה מעלה שאלות קשות לגבי יכולתה של החברה לשלוט בכלי שתואר על ידי עצמה כ"נשק פריצה פוטנציאלי אם ייפול לידיים הלא נכונות".

לפי הדיווח, הקבוצה השיגה גישה למודל באמצעות סביבת עבודה של ספק צד שלישי שעובד עם Anthropic. דובר החברה אישר ל-TechCrunch כי הם בוחנים את הדיווחים, אך טען שעד כה לא נמצאו עדויות לכך שמערכות החברה נפגעו.

דליפה ביום ההשקה

לפי המידע שפורסם, חברי הקבוצה הבלתי מורשית פעלו דרך ערוץ Discord שמתמחה באיסוף מידע על מודלי AI שטרם שוחררו לציבור. הקבוצה הצליחה לנחש את המיקום המקוון של המודל ביום השקתו הפומבית, על בסיס ידע קודם על הפורמט שבו משתמשת Anthropic למודלים אחרים.

אחד מחברי הקבוצה, שהתראיין ל-Bloomberg ואף הציג הדגמה חיה של הכלי, מועסק כיום אצל קבלן חיצוני שעובד עם Anthropic. לדבריו, מטרת הקבוצה היא "לשחק עם מודלים חדשים, לא לזרוע הרס".

הסכנה בדליפה

Mythos פותח במסגרת יוזמה בשם Project Glasswing, ושוחרר רק למספר מצומצם של ספקים נבחרים, כולל שמות גדולים כמו חברת Apple. ההשקה המוגבלת נועדה בדיוק למנוע שימוש בכלי על ידי גורמים זדוניים, שכן לפי Anthropic, הכלי עלול להיות מנוצל נגד אבטחה ארגונית במקום לחזק אותה.

העובדה שהכלי נחשף זמן קצר כל כך לאחר השקתו, ודווקא דרך אחד הספקים שאמורים היו להיות בעלי רמת אבטחה גבוהה, מהווה מכה לאסטרטגיית השקת המוצר המבוקרת של Anthropic. חברות ישראליות רבות המתמחות באבטחת סייבר עוקבות בקפידה אחר התפתחויות כאלה, במיוחד כשמדובר בכלי AI שיכולים לשמש הן למטרות הגנה והן למטרות תקיפה.

השלכות על שוק האבטחה

המקרה מדגיש את האתגר המתמשך בפיתוח כלי AI חזקים: איך להבטיח שהם לא ייפלו לידיים הלא נכונות. עבור חברות סייבר ישראליות, שחלקן שוקלות שיתופי פעולה עם ענקיות AI אמריקאיות, זהו תזכורת לחשיבות בנייה עצמאית של שכבות אבטחה מקומיות ולא הסתמכות מלאה על ספקים חיצוניים.

אם הדיווח מדויק, מדובר בבעיה לא רק טכנולוגית אלא גם עסקית עבור Anthropic. הבטחת האבטחה שהייתה אמורה להיות חלק מהערך המוסף של Mythos נפגעה באופן ישיר, ויתכן שלקוחות ארגוניים יהססו לאמץ את הכלי בעתיד.