Mastodon
Zdjęcie okładkowe wpisu Koniec mitu niebezpiecznego AI? Model Mythos poległ na kodzie Curla

Koniec mitu niebezpiecznego AI? Model Mythos poległ na kodzie Curla

Agnieszka Serafinowicz
0
Dodane: 2 godziny temu

Wokół najnowszych modeli sztucznej inteligencji często buduje się aurę tajemniczości i grozy. Twórcy z firmy Anthropic reklamowali swój nowy model Mythos jako technologię „zbyt niebezpieczną, aby udostępnić ją publicznie”.

Z tą marketingową narracją postanowił zmierzyć się Daniel Stenberg, twórca legendarnego narzędzia curl, dając sztucznej inteligencji dostęp do 178 tysięcy linijek swojego kodu. Wyniki eksperymentu mocno weryfikują rynkowy entuzjazm.

Z wielkiej chmury mały deszcz

Model Mythos miał za zadanie przeanalizować bazę kodu curla w poszukiwaniu krytycznych luk bezpieczeństwa. Po długim procesie przetwarzania danych system zgłosił pięć „potwierdzonych podatności”. Jak jednak wykazała weryfikacja przeprowadzona przez zespół curla, skuteczność AI okazała się mocno przeszacowana:

  • Trzy ze zgłoszonych luk okazały się fałszywymi alarmami (tzw. false positives).
  • Jedno zgłoszenie było zwykłym błędem (bugiem) bez jakichkolwiek implikacji dla cyberbezpieczeństwa.
  • Tylko jedna znaleziona podatność okazała się prawdziwa, jednak eksperci sklasyfikowali ją jako lukę „niskiego ryzyka”.

AI asystuje, ale nie zastępuje człowieka

Jak zauważają eksperci ds. bezpieczeństwa (m.in. z serwisu Sekurak), eksperyment Stenberga nie oznacza, że sztuczna inteligencja jest w cyberbezpieczeństwie bezużyteczna. Udowadnia jedynie, że AI nie działa jak magiczna różdżka.

Obecnie branża odchodzi od narracji o podatnościach „znalezionych przez AI” (AI-found) na rzecz tych „wspieranych przez AI” (AI-assisted). Doskonałym przykładem jest niedawna, głośna luka „Copy Fail” w systemie Linux. To badacz (człowiek) na podstawie swojej wiedzy i intuicji określił potencjalny wektor ataku, a sztuczna inteligencja posłużyła mu jedynie jako narzędzie do błyskawicznego przeskalowania tego pomysłu na cały ogromny podsystem.

Wniosek jest prosty: w 2026 roku ekspert ds. cyberbezpieczeństwa, który potrafi umiejętnie korzystać z AI, osiągnie znacznie lepsze i szybsze rezultaty niż kilka lat temu. Sama sztuczna inteligencja pozostawiona bez nadzoru wciąż ma jednak problem z odróżnieniem faktycznego zagrożenia od fałszywego alarmu.

Zmiany w OpenAI. Greg Brockman przejmuje nadzór nad produktem, firma ogranicza poboczne projekty

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .