Anthropic breidt zijn beveiligingsinitiatief Project Glasswing uit. Na een eerste groep van ongeveer vijftig deelnemers krijgen nu nog eens circa 150 organisaties toegang tot Claude Mythos Preview, een AI-model dat specifiek wordt ingezet voor het opsporen van kwetsbaarheden in software.
De nieuwe deelnemers komen uit meer dan vijftien landen en zijn actief in sectoren als energie, waterbeheer, gezondheidszorg, communicatie en hardware. Volgens de Financial Times hebben ook de NAVO en het Europese cyberagentschap ENISA toegang gekregen tot het programma. Veel deelnemers beheren software of infrastructuur waarvan grote aantallen gebruikers afhankelijk zijn.
Project Glasswing ging eerder dit jaar van start met een beperkte groep organisaties, waaronder grote technologiebedrijven. Sindsdien heeft Claude Mythos Preview volgens Anthropic meer dan 23.000 kwetsbaarheden in software opgespoord, meldt SiliconANGLE. Ruim een kwart daarvan werd door het model als ernstig of kritiek geclassificeerd.
Anthropic voerde vervolgens een handmatige controle uit op 1.752 van deze ernstige bevindingen. Daarbij bleek 90,6 procent daadwerkelijk aan die classificatie te voldoen. Dat wijst volgens het bedrijf op een relatief hoge nauwkeurigheid van het systeem.
Anthropic beperkt de beschikbaarheid van Claude Mythos Preview bewust. Het model kan namelijk niet alleen beveiligingslekken opsporen, maar ook analyseren hoe aanvallers deze kunnen misbruiken. In sommige gevallen is het bovendien in staat meerdere kwetsbaarheden aan elkaar te koppelen tot een potentieel aanvalsscenario. Dat zijn taken waar veel publiek beschikbare taalmodellen nog moeite mee hebben.
De deelnemers gebruiken het model inmiddels niet alleen voor het vinden van problemen, maar ook voor het ontwikkelen van patches. Daarnaast wordt de technologie ingezet om nieuwe code al vóór productie op zwakke plekken te controleren.
Volgens Anthropic verschuift de grootste uitdaging in cybersecurity daardoor van het vinden van kwetsbaarheden naar het beoordelen, melden en herstellen ervan. AI kan dat proces versnellen, maar vraagt ook om nieuwe werkwijzen binnen ontwikkel- en beveiligingsteams.
Nieuwe hulpmiddelen
De ervaringen binnen Project Glasswing hebben daarnaast geleid tot de ontwikkeling van een zogenoemde threat model builder. Deze tool helpt AI-systemen om tijdens beveiligingsscans de meest risicovolle onderdelen van een codebase prioriteit te geven. Anthropic heeft het hulpmiddel inmiddels beschikbaar gesteld aan een deel van zijn klanten, samen met andere technieken die tijdens het programma zijn ontwikkeld.
Niet iedereen is overtuigd van de gekozen aanpak. Justin Beals, oprichter van beveiligingsbedrijf Strike Graph, waarschuwt volgens SiliconANGLE dat een gecontroleerde uitrol op zichzelf geen garantie biedt voor veiligheid. Organisaties die toegang krijgen tot krachtige cybermodellen kunnen volgens hem zelf aantrekkelijke doelwitten worden voor aanvallers.
Anthropic wil Project Glasswing de komende tijd verder uitbreiden met extra beheerders van kritieke infrastructuur, opensourceprojecten en veiligheidsonderzoekers. Daarnaast onderzoekt het bedrijf hoe AI kan worden ingezet om kwetsbaarheden in opensourcesoftware sneller te herstellen en beter te melden aan projectbeheerders.