Компании, занимающиеся искусственным интеллектом, Anthropic и OpenAI, предпринимают серьезные шаги для решения растущих рисков, связанных с их продуктами. Фирма Альтмана выпустила модели, предназначенные исключительно для экспертов, чтобы помочь защитить уязвимые системы, а Anthropic теперь требует подтверждения личности перед тем, как пользователи смогут получить доступ к определенным функциям.
Когда модели искусственного интеллекта впервые были представлены публике, их использовали для превращения текста в произведения искусства в стиле студии Ghibli и составления списков покупок, но искусственный интеллект быстро стал проблемой национальной безопасности.
Почему компания Anthropic запрашивает мои водительские права?
Хакеры уже используют ИИ для обхода систем защиты, что вынуждает Anthropic внедрять обязательную dent . Теперь пользователям требуется физическое удостоверение личности государственного образца (паспорт или водительское удостоверение) и селфи в реальном времени для использования определенных функций.
Их партнер, компания Persona, занимается обработкой данных. Компания Anthropic уточнила , dent пользователей для обучения своих моделей ИИ. Компания также пояснила, что проверка необходима для «предотвращения злоупотреблений, обеспечения соблюдения правил использования и выполнения юридических обязательств».
Если пользователь не пройдет проверку или попытается использовать систему из неподдерживаемого местоположения, его учетная запись может быть заблокирована.
Внезапные меры по ужесточению контроля были вызваны признанием Anthropic в том, что их новая модель, Claude Mythos Preview, ужасающе хороша в хакерстве.
В сообщении в блоге, опубликованном одновременно с новостью о проверке, компания заявила, что Mythos Preview «способен выявлять dent затем использовать уязвимости нулевого дня в каждой основной операционной системе и каждом основном веб-браузере по указанию пользователя».
Инженеры компании Anthropic, не имевшие формального образования в области безопасности, попросили компанию Mythos найти уязвимости для удаленного выполнения кода за одну ночь. По словам представителей компании, «на следующее утро они обнаружили полностью работоспособный эксплойт»
Действительно ли новые модели искусственного интеллекта опасны?
Британский институт безопасности искусственного интеллекта (AISI) опубликовал оценку, подтверждающую, что Mythos представляет собой «шаг вперед» в кибербезопасности.
Внутреннее сообщение в блоге Anthropic содержит наиболее тревожные подробности о возможностях модели. Mythos, получив первоначальное уведомление, обнаружила 27-летнюю ошибку в OpenBSD, операционной системе, известной своей безопасностью.
Компания Mythos также обнаружила 16-летнюю ошибку в FFmpeg, инструменте для работы с видео, используемом почти всеми крупными сервисами. Инструмент был протестирован на миллионах случайных входных данных с помощью метода, называемого фаззингом, однако Mythos обнаружила уязвимость в кодеке H.264, которая восходит к коммиту 2003 года.
Кроме того, компания Mythos обнаружила 17-летнюю уязвимость в NFS-сервере FreeBSD и написала эксплойт, позволяющий любому неаутентифицированному пользователю в интернете получить полный root-доступ к серверу.
Компания подтвердила, что Mythos Preview «полностью автономноdentи затем использовал эту уязвимость». Весь процесс обошелся менее чем в 2000 долларов США по ценам API и занял менее суток.
Компания Mythos обнаружила уязвимости во всех основных веб-браузерах. В одном случае она разработала эксплойт для браузера, который объединял четыре уязвимости, включая JIT-распыление в куче, чтобы обойти как песочницу рендерера браузера, так и песочницу операционной системы.
Компания Anthropic обнаружила «тысячи дополнительных уязвимостей высокой и критической степени серьезности» в программном обеспечении с открытым и закрытым исходным кодом. Более 99% этих ошибок до сих пор не исправлены.
Подход OpenAI к рискам безопасности
Несмотря на эти проблемы, OpenAI объявила о выпуске GPT-5.4-Cyber , которая, в отличие от стандартных моделей, отказывающихся помогать в хакерстве по соображениям безопасности, «снижает порог отказа для законной работы в области кибербезопасности».
GPT-5.4-Cyber может анализировать скомпилированное программное обеспечение без доступа к исходному коду для обнаружения вредоносных программ и уязвимостей, но доступ к нему ограничен программой OpenAI «Trusted Access for Cyber» (TAC). Использовать его могут только проверенные эксперты по кибербезопасности, исследователи и организации, защищающие критически важные системы.
Проект Glasswing компании Anthropic также предоставляет ограниченный доступ специалистам по защите в таких компаниях, как Amazon ($AMZN), Apple ($AAPL) и Google ($GOOGL), для устранения неполадок в критически важной инфраструктуре до того, как злоумышленники смогут ее использовать.
Между тем, компания Anthropic рекомендует устанавливать обновления безопасности немедленно, а не ежемесячно.
