Użytkownicy Discorda znaleźli lukę w Anthropic i uzyskali dostęp do Claude Mythos w dniu premiery

Według ustaleń Bloomberga i potwierdzeń Anthropic, nie doszło do włamania do głównej infrastruktury. Incydent obnażył jednak słabość kontroli dostępu w środowiskach zewnętrznych oraz rosnące ryzyko, że modele AI zdolne do automatycznego wykrywania i eksploatacji luk mogą wymknąć się spod kontroli.

Niewielka grupa użytkowników Discorda – skupiona wokół kanału zajmującego się analizą niepublicznych modeli AI – uzyskała dostęp do modelu Claude Mythos Preview, ściśle chronionego systemu cyberbezpieczeństwa Anthropic. Jak wynika z raportu Bloomberga, wystarczyło odgadnięcie struktury adresu URL, oparte na znajomości wcześniejszych punktów końcowych firmy, aby ominąć ograniczenia dostępu. Co istotne, dostęp uzyskano tego samego dnia, w którym Anthropic publicznie zaprezentował projekt Glasswing i wstrzymał szersze wdrożenie modelu ze względu na jego ofensywne możliwości.

„Badamy zgłoszenie o nieautoryzowanym dostępie do Claude Mythos Preview za pośrednictwem jednego z naszych zewnętrznych dostawców” – poinformowała firma, podkreślając jednocześnie, że „nie ma dowodów na wpływ na systemy bazowe Anthropic”.

Łańcuch dostępu i rola zewnętrznego kontrahenta

Według ustaleń Bloomberga, w zdarzenie mógł być pośrednio zaangażowany pracownik zewnętrznego kontrahenta, który posiadał uprawnienia dostępu do środowiska testowego. Grupa użytkowników miała następnie regularnie korzystać z modelu, dokumentując jego działanie poprzez zrzuty ekranu i demonstracje.

Incydent ten jest szczególnie istotny ze względu na charakter samego modelu. Claude Mythos został zaprojektowany jako narzędzie defensywne, zdolne do wykrywania i analizy podatności w oprogramowaniu. W testach – jak twierdzi Anthropic – system miał samodzielnie identyfikować tysiące wcześniej nieznanych luk zero-day oraz generować działające exploity, w tym złożone łańcuchy obejść zabezpieczeń.

Właśnie te możliwości sprawiły, że firma zdecydowała się ograniczyć dostęp i wdrożyć projekt Glasswing – inicjatywę zakładającą udostępnienie modelu wyłącznie wybranym partnerom, w tym m.in. Amazon Web Services, Google, Microsoft, Nvidia, Apple i CrowdStrike.

Ograniczony model wdrożenia miał zapewnić przewagę obrońcom nad potencjalnymi atakującymi. Jak jednak pokazuje incydent z Discorda, problem nie dotyczy wyłącznie samej technologii, ale także łańcucha dostępu.

„Nie chodzi o klasyczne włamanie do systemu, lecz o wykorzystanie luki pomiędzy kontrolą dostawcy zewnętrznego a kontrolą samego modelu” – wynika z analizy przedstawionej przez Bloomberga. Oznacza to przesunięcie ryzyka z poziomu infrastruktury AI na poziom zarządzania dostępem i uprawnieniami.

Nowa dynamika cyberzagrożeń

Dyskusję wokół incydentu pogłębia szerszy kontekst branżowy. Claude Mythos, podobnie jak inne zaawansowane systemy „frontier AI”, jest projektowany nie tylko do wykrywania podatności, ale także do symulowania ich wykorzystania. To rodzi obawy, że granica między narzędziem obronnym a ofensywnym staje się coraz bardziej płynna.

Eksperci cytowani w raporcie zwracają uwagę, że nawet jeśli obecny dostęp miał charakter eksperymentalny i – według relacji – nie był motywowany złośliwie, to sam fakt jego uzyskania pokazuje, jak szybko wiedza o architekturze modeli AI może zostać wykorzystana w praktyce.

Incydent ten wpisuje się w szerszą debatę o rosnącym znaczeniu AI w cyberbezpieczeństwie. Brytyjskie National Cyber Security Centre ostrzegało niedawno, że nowe systemy AI przyspieszają zarówno wykrywanie, jak i eksploatację luk w oprogramowaniu do poziomu, który skraca cykle reakcji z dni do godzin.