AI-modell hotar att eliminera skyddstiden vid cyberangrepp

En ny era av cybersäkerhet

Cybersäkerheten står inför sin kanske största omvälvning någonsin. Anthropics AI-modell Mythos har fått säkerhetsexperter att slå larm – inte för att den är skadlig, utan för att den är så kraftfull att den eliminerar den tid försvarare traditionellt har haft för att reagera på hot.

"Konvergensen mellan AI och sårbarhetsupptäckt har rört sig mot en singularitet under flera år. Den punkten är nu här med Claude Mythos", varnar Cloud Security Alliance i sin rapport "AI Vulnerability Storm".

Vad som tidigare var två separata händelser – att upptäcka en sårbarhet och sedan utveckla kod för att utnyttja den – smälter nu samman till en enda process. För angripare betyder det omedelbar tillgång till fungerande exploateringsverktyg. För försvarare betyder det att den traditionella "grace period" som gett tid att installera säkerhetsuppdateringar helt försvinner.

Tillfällig andrum genom Projekt Glasswing

Anthropic är medvetet om riskerna och håller för närvarande Mythos borta från allmänheten genom sitt Projekt Glasswing. Strategin är att ge stora programvaruleverantörer tid att använda Mythos för att hitta och åtgärda sina egna sårbarheter, samtidigt som cybersäkerhetsteam får möjlighet att omorganisera sina försvar.

Men denna "skenfred" är temporär. Förr eller senare kommer Mythos-liknande kapacitet att hamna i händerna på nationalstater, kriminella gäng och andra illvilliga aktörer. När det sker kommer spelreglerna för cybersäkerhet att vara fundamentalt förändrade.

Dagens sårbarheter exponeras redan

Medan vi väntar på Mythos visar aktuella säkerhetshändelser hur utsatta våra system redan är. Basic-Fit, Europas största gymkedja, drabbades nyligen av ett dataintrång som påverkade en miljon medlemmar. Trots att attacken blockerades "inom några minuter" enligt SecurityWeek, hann angriparen ladda ner namn, adresser, telefonnummer och bankkontouppgifter.

Fallet illustrerar den grundläggande utmaningen: även snabba responstider räcker inte när angripare kan verka så effektivt. När AI-verktyg som Mythos blir tillgängliga för illvilliga aktörer kommer denna problematik att förstärkas dramatiskt.

Försvar under press

Parallellt pågår en debatt om övervakningsmetoder för säkerhet. LinkedIn anklagas av organisationen BrowserGate för omfattande övervakning av användares webbläsartillägg, påståenden som LinkedIn förnekar. Oberoende säkerhetsforskare som Tyler Reguly från Fortra menar att det handlar om vanlig säkerhetsövervakning, inte spionage.

Diskussionen belyser den svåra balansgången mellan säkerhet och integritet som kommer att intensifieras när AI-drivna hot ökar. Försvarare behöver kraftfullare verktyg, men dessa måste implementeras på ett sätt som respekterar användarnas rättigheter.

Samtidigt visar utvecklare som Aloshdenny att även avancerade säkerhetssystem kan utmanas. Genom att påstå sig ha dekonstruerat Googles SynthID-vattenstämpelsystem (vilket Google bestrider) demonstreras hur katt-och-råtta-leken mellan angripare och försvarare fortsätter även inom AI-säkerhet.

Grundprinciper blir viktigare än någonsin

Cloud Security Alliance betonar att cybersäkerhetens grundprinciper förblir relevanta även i AI-eran. Snabba säkerhetsuppdateringar, robust systemarkitektur och djupförsvar blir inte mindre viktiga – snarare tvärtom.