Forrester voorspelt: AI-tool Mythos verandert IT-beveiliging

Claude Mythos Preview is de codenaam voor het AI-model van Anthropic, dat zelfstandig zoekt naar beveiligingslekken in software, broncode leest, hypotheses over kwetsbaarheden, formuleert, die test en gevonden lekke, inclusief een exploit, rapporteert. Het nieuwe model kan nog niet door iedereen worden gebruikt, Anthropic heeft het via project Glasswing beschikbaar gesteld aan ruim veertig partners, zoals Google, Microsoft en Apple. Zij kunnen het nu gebruiken om snel de gaten in hun beveiliging te dichten. De afgelopen week vond het model al duizenden zero-day kwetsbaarheden, bijvoorbeeld in elk groot besturingssysteem en elke grote webbrowser.

1. Vind mensen die de veiligheidslekken kunnen dichten

AI kan kwetsbaarheden in software snel ontdekken, maar om ze te fiksen zijn mensen nodig met kennis van de specifieke codebase. Vooral voor open source projecten zou dat een probleem kunnen zijn, volgens Forrester. ‘Glasswing bracht kwetsbaarheden van 16 en 27 jaar oud aan het licht, in projecten die worden onderhouden door kleine vrijwilligersteams. (…) De herstelcapaciteit in open source schaalt daar niet in mee.’ De donatie van 4 miljoen dollar aan opensource-beveiligingsorganisaties noemt Forrester een mooi gebaar, het geeft aan dat moederbedrijf Anthropic aanvoelt waar de pijn zit.

2. IT-securitybedrijf? Herpositioneren!

Pentesten is duur, Forrester schat tussen de 20.000 en 120.000 dollar per test, omdat ze worden uitgevoerd door gespecialiseerde beveiligingsexperts. Maar daar komt door Mythos een einde aan. Het vinden van bugs is nu niet meer het probleem, maar het begrijpen, contextualiseren, prioriteren, herstellen en juridisch afdichten van diezelfde bugs wordt een grote uitdaging. Waarschuwing van Forrester: ‘Beveiligingsbedrijven die hun tarieven blijven rechtvaardigen puur op basis van het opsporen van kwetsbaarheden, zullen klanten en omzet verliezen. Ze moeten zich herpositioneren richting diepere expertise: kennis van de codebase, de infrastructuur, en de implementatie van effectieve oplossingen.’

3. Accepteer het maar: Claude Mythos zet de standaard

Totdat een concurrent van Anthropic met een vergelijkbaar AI-model komt, is het Claude Mythos wat de klok slaat voor cybersecurityleveranciers. Ze kunnen expliciet gaan samenwerken, als het Glasswing-project nieuwe partijen wil betrekken, en afspraken maken over veiligheid, betrouwbaarheid en aansprakelijkheid, met daarbij de mogelijkheid om wat invloed uit te oefenen op de richting waarin het model zich ontwikkelt. Of ze kunnen de tools gebruiken zonder formele afspraken, en Forrester vraagt zich af hoe verstandig dat is. ‘Leveranciers die de relatie impliciet laten, accepteren afhankelijkheid zonder invloed, waardoor hun risico toeneemt wanneer er onder druk van klanten of regelgevers hiaten in de governance aan het licht komen.’