Det öppna filöverföringsbiblioteket Curl kommer att få ta del av AI-jätten Anthropics omskrivna AI-baserade kodsäkerhetssatsning Glasswing – senast från och med måndag. Det berättar öppenkodprojektets förvaltare Daniel Stenberg för Elektroniktidningen.
Amerikanska AI-jätten Anthropic har skapat stor uppmärksamhet genom att meddela att företaget frivilligt avstår från att integrera sin nya språkmodell Mythos Preview i sina AI-tjänster.
Motiveringen är att den är så skicklig på att hitta sårbarheter i källkod att det skulle äventyra cybersäkerheten för massor av programvara om den någonsin släpptes ut på marknaden.
Den ska enligt Anthropic ha hittat tusentals defekter i samtliga stora operativsystem och webbläsare – en del av dem allvarliga sårbarheter.*
Enligt Anthropic kommer Mythos Preview – ironiskt känd som ”språkmodellernas Chuck Norris” – aldrig någonsin att göras allmänt tillgänglig. Istället utvecklar Anthropic en ny version av sin LLM-familj Opus utrustad med spärrar som ska kunna ”identifiera och blockera modellens farligaste utdata”.
Däremot ska en utvald skara företag och projekt få unik access till Mythos Preview i ett projekt kallad Glasswing.
Är Mythos-sekretessen bara AI-hajp eller är det äkta omtänksamhet? Har Mythos blivit en så skicklig felfinnare att Anthropic på allvar oroar sig för konsekvenserna av att ge allmän åtkomst till den? Mythos som felfinnare slukar tokens i mängder – är den kanske en för dyr algoritm för att kunna produktifieras?
Eller är alltsammans bara ett knep för driva upp Anthropics värdering? Berättelsen är spännande och tar sig utan problem in på löpsedlarna med ord som ”skräck” och ”stabsläge”.
Det är inget omöjligt i sig att LLM-baserade verktyg för sårbarhetssökning tagit ett rejält kliv uppåt med Mythos – som bland annat hittat en magisk paketsekvens som du kan skicka till Open BSD-servrar för att få dem att krascha. Och magisk kod som förvandlar en vanlig användare till root-användare i Linux.
Felrapporter som inkom från kodbottar brukade vara AI-slask. Under loppet av en månad svängde de till att betraktas som värdefulla verktyg för felsökning – i alla fall i händerna på kompetenta utvecklare.
De nya AI-verktygen har använts för att hitta sårbarheter på löpande band i flera öppenkodsprojekt. Den sista tiden har den nyheten blivit något av vardagsmat. Och verktygen har hittat fel som legat dolda i åratal – det är inget unikt för Mythos.
De nya AI-verktygen var redan före Mythos så effektiva att de kommer att tvinga öppenkodsprojekten att byta arbetsätt. AI-baserade felrapporter har börjat dyka upp bara några timmar efter nya kodreleaser. Från flera rapportörer samtidigt. Det betyder att klassiska embargon för att skapa tid för rättelser blir uddlösa.
Så fort det landat en AI-rapport måste du utgår från att fler – onda som goda – hittat samma fel. Det finns ingen respit längre.
Det som Anthropic gör med Glasswing att ge de inbjudna projekten en andningspaus och låta Mythos söka efter buggar innan alla – onda som goda – kommer att kunna göra detsamma.
Det är inte självklart att de nya AI-verktygen blir en katastrof för cybersäkerheten. Det kan lika gärna bli tvärtom – utvecklarna kan låta AI granska koden innan den släpps. Säkerhetshål som förr skulle släppts ut i det vilda kan komma att stoppas vid grinden.
Anthropic är ett av de företag som investerat i utvecklingen av de nya AI-verktygen. Så sent som i februari lanserade Anthropic en felfinnare kallad Security med en lång meritlista av defekter som den redan grävt upp. En del årtionden gamla.
LLM-baserade felfinnare är en revolution inom cybersäkerhet i samma storleksordning som fuzzing – också det en teknik som hittade fel som legat dolda i åratal när den började användas. Båda är en del av den verktygsuppsättning som alla mjukvaruprojekt bör använda idag.
Det finns ingen oberoende verifiering av att just Mythos är värd den extrema uppmärksamhet som Anthropic blåser upp kring den. Det som finns är ett påstående från Anthropic om att den använts för att hitta en lång rad defekter. En del av dem är många år gamla, men det är – igen – inget nytt.
En stor andel av de defekter som de nya AI-verktygen hittar är – även efter expertgranskning – inte sårbarheter. Ibland föranleder de inte ens rättelser.
Det är ingen överraskning att det svenska öppenkodsprojektet Curl får förtur till Mythos – tillsammans med teknikjättar som Google, Microsoft, Nvidia och Cisco – sammanlagt 50 organisationer. Curl har varit piggt på att anamma de nya AI-verktygen.
– Vi kör numera Copilot, Augment och Aisle Analyzer på pull-requests innan merge. Och Codex Security scannar alla pushade commits, berättar Daniel Stenberg.
Curl och Daniel Stenberg är stora namn i öppenkodssfären. Och biblioteket är en central del av den infrastruktur som Anthropic vill skydda. Man kan säga att Curl finns överallt där Internet finns.
Ytterligare företag inbjudna till Glasswing är Amazon, Apple, Broadcom, CrowdStrike, JP Morgan Chase och Palo Alto.
På Linuxstiftelsen – också inbjuden – finns supply chain-projektet Alpha-Omega och det är det som i sin bjuder med sig Curl till Glasswing.
FOTNOT:
* Anthropic skriver på en annan rad på samma sida att Mythos Preview hittat ”tusentals high-severity vulnerabilities” men det katalogiserar Elektroniktidningen tillsvidare som ett nyttigt korrekturfel. ”Tusentals defekter varav flera allvarliga” känns rimligare.