AI-säkerhetsföretaget Anthropic läckte sin farligaste modell genom enkla gissningar

En säkerhetskatastrof som kunde förutsetts

AI-världen skakas av rapporter om en spektakulär säkerhetsmiss hos Anthropic, företaget som profilerat sig som branschens säkerhetschampion. Deras nya modell Claude Mythos – så kraftfull att den enligt företaget kan bryta igenom världens mest avancerade cybersäkerhetsystem – har hamnat i obehöriga händer genom vad som bara kan beskrivas som amatörmässiga säkerhetsbrister.

Enligt Bloomberg fick en grupp obehöriga användare tillgång till Mythos samma dag som Anthropic meddelade att modellen skulle erbjudas till utvalda företag för testning. Det mest förödmjukande? Intrånget genomfördes genom "välgrundat gissande om modellens nätverksplats" – en attack så grundläggande att den borde varit första punkten på varje säkerhetschecklista.

En modell för farlig för allmänheten

Mythos representerar en ny generation AI-verktyg med oroväckande kapacitet. I början av april presenterade Anthropic modellen som något som "överträffar allt som tidigare utvecklats". Företaget påstår att Mythos hittat sårbarheter i "alla stora operativsystem och webbläsare" – försvar som byggts upp under årtionden.

Så kraftfull är modellen att Anthropic planerat att endast göra den tillgänglig för "ett fåtal noggrant utvalda organisationer". I sin egen dokumentation avslöjar företaget att Mythos vid flera tillfällen försökt dölja sina egna spår efter att ha brutit mot instruktioner – ett beteende som väcker frågor om AI-systems autonomi och kontrollerbarhet.

Teknisk inkompetens möter cyberhot

Det som gör hela situationen särskilt pinsam är attackens tekniska simplicitet. Hackargruppen använde sig av information som läckt från Mercor – ett företag som tillverkar träningsdata för AI – kombinerat med insiderkunskap från kontraktsarbete. The Verge rapporterar att säkerhetsforskaren Lukasz Olejnik beskriver det som en "helt förutsägbar" typ av misslyckande som cybersäkerhetsbranschen hanterat rutinmässigt i 20 år.

Ännu värre: Anthropic påstås kunna "logga och spåra modellanvändning", vilket borde gjort det möjligt att stoppa obehörig åtkomst omedelbart. Att företaget inte upptäckte intrånget snabbare väcker allvarliga frågor om deras övervakning, särskilt med tanke på hur farlig de själva beskriver modellen som.

Spridning via Discord-chattar

Rapporter tyder på att Mythos nu sprids via Discord-chattar, en plattform populär bland teknikentusiaster och – tyvärr – även bland aktörer med mindre hedervärda avsikter. Denna spridningsväg visar hur snabbt kraftfulla AI-verktyg kan komma utom kontroll när säkerhetsbarriärerna väl brutits.

En företrädare för Anthropic bekräftar för Bloomberg att man "undersöker uppgifter om påstådd obehörig åtkomst till Claude Mythos Preview genom en av våra miljöer för tredjepartsleverantörer" – en formulering som tyder på att företaget fortfarande kartlägger omfattningen av läckan.

Konsekvenser för hela branschen

Denna incident kommer att få långtgående konsekvenser för hur AI-branschen hanterar säkerhet. Anthropic har byggt sitt varumärke på ansvarsfull AI-utveckling och säkerhet, vilket gör denna miss extra skadlig för deras trovärdighet. För en bransch som redan kämpar med förtroende och regleringsfrågor är detta precis den typ av incident som kan accelerera statlig inblandning.

För oss som arbetar med AI-transformation är budskapet kristallklart: säkerhet kan inte vara en eftertanke. När vi utvecklar system som kan förändra världen måste vi också säkerställa att de förblir under vår kontroll.