Por AJ Vicens e Raphael Satter
13 Abr (Reuters) - O modelo de inteligência artificial da Anthropic Mythos apresenta desafios significativos para os sistemas de tecnologia legados do setor bancário, disseram especialistas após seu lançamento.
O modelo, anunciado em 7 de abril, é o "mais capaz da empresa até o momento para programação e tarefas agênticas", disse a empresa, referindo-se à capacidade do modelo de agir de forma autônoma.
Os recursos de programação de alto nível proporcionaram ao Mythos uma capacidade potencialmente sem precedentes de identificar vulnerabilidades de segurança digita e criar maneiras de explorá-las, segundo especialistas.
Esse é um problema específico para bancos e outras instituições financeiras, que utilizam pilhas de tecnologia que integram ferramentas de última geração com software de décadas atrás, o que pode abrir um grande número de vulnerabilidades, de acordo com TJ Marlin, presidente-executivo da Guardrail Technologies, empresa de segurança de IA empresarial.
Marlin disse que o Mythos Preview pode "examinar uma arquitetura muito complexa, incluindo essa infraestrutura legada onde, francamente, essas vulnerabilidades e complexidades não descobertas estão agora acessíveis e são fatores de ameaça".
O setor bancário também está intimamente ligado, com muitas empresas operando o mesmo conjunto restrito de software para integrar clientes, realizar verificações de clientes e lidar com transações.
"Por ser um setor muito especializado e altamente regulamentado, há muitas interconexões de TI", disse Naresh Raheja, um consultor de São Francisco que trabalhou anteriormente no Office of the Comptroller of the Currency dos Estados Unidos. "Muitos bancos usam os mesmos fornecedores e as mesmas soluções."
Marlin disse que isso pode agir como um multiplicador de força para ataques, tornando qualquer ação apoiada em ferramentas de IA "potencialmente catastrófica em escala".
Autoridades governamentais de pelo menos três países - EUA, Canadá e Reino Unido - reuniram-se com as principais contrapartes bancárias para discutir as ameaças representadas pelo modelo Claude Mythos Preview da Anthropic.
O Tesouro dos EUA disse que o governo de Donald Trump está pressionando as instituições financeiras a "entender e antecipar uma ampla gama de desenvolvimentos de mercado" e que outras reuniões sobre o assunto estão planejadas.
A Anthropic disse que o Claude Mythos Preview não será disponibilizado para todos. Em vez disso, a empresa anunciou o Projeto Glasswing, no qual convidou grandes empresas de tecnologia, fornecedores de segurança digital e o JPMorgan Chase, juntamente com várias dezenas de outras organizações, para avaliarem o modelo em particular e preparar defesas de acordo.
IDENTIFICAÇÃO DE VULNERABILIDADES
O Claude Mythos Preview é capaz de identificar e explorar vulnerabilidades não descobertas anteriormente em todos os principais sistemas operacionais de computador e em todos os principais navegadores da Web, disse a empresa ao anunciar o Projeto Glasswing.
Em um artigo técnico publicado juntamente com o anúncio principal, os pesquisadores da Anthropic descrevem como o Mythos Preview identificou "milhares" de vulnerabilidades de gravidade alta e crítica, o que significa que os alvos podem sofrer graves impactos como resultado, incluindo comprometimento de dados e operações.
Os pesquisadores descreveram como o modelo identificou uma vulnerabilidade de 16 anos na biblioteca de software FFmpeg amplamente utilizada, um programa de código aberto usado para processar arquivos de áudio e vídeo, e como identificou um bug em um programa de monitoramento de máquina virtual sem nome, que permite que os usuários criem computadores virtuais segregados dentro de seus próprios computadores de forma a supostamente protegerem o sistema.
Uma coalizão da Cloud Security Alliance de executivos de segurança eletrônica e ex-funcionários de alto escalão governo dos EUA alertou, em 12 de abril, que o Mythos representa "uma mudança radical" na trajetória de modelos de IA que "reduzem o custo e o nível de habilidade para descobrir e explorar vulnerabilidades mais rapidamente do que as organizações podem corrigi-las".
Costin Raiu, um pesquisador de segurança de longa data e cofundador da empresa de segurança digital TLPBLACK, disse que o setor bancário tem sistemas de tecnologia legados importantes, lançados há décadas, que foram atualizados muitas vezes ao longo dos anos, apontando para produtos produzidos por empresas como a IBM, por exemplo.
"Um modelo como o Mythos teria um dia de campo para encontrar alvos de exploração" em determinados sistemas IBM, disse Raiu, apontando exemplos de pesquisas de vulnerabilidades relacionadas à IBM. "E esse é apenas um exemplo de tecnologias antigas que equipam o setor financeiro."
Em 9 de abril, a IBM disse que o Mythos está "forçando as equipes de segurança corporativa a repensarem suas defesas desde o início" e pediu uma abordagem de código aberto, em que mais empresas e pesquisadores tenham acesso ao modelo para tornar todos mais seguros.
O JPMorgan Chase disse em um comunicado na semana passada que faz parte de um grupo de empresas líderes que estavam avaliando o Mythos de forma privada, algo que chamou de "uma oportunidade única e em estágio inicial de avaliar ferramentas de IA de próxima geração para segurança em infraestrutura crítica".
