Teknik

Anthropic utreder obehörig åtkomst till säkerhetsverktyget Claude Mythos

Uppgifter pekar på intrång via leverantörsmiljö när modellen bara släppts till utvalda partners, begränsad lansering blir åtkomlig för den som kan gissa var verktyget ligger

Bilder

Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims | TechCrunch Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims | TechCrunch techcrunch.com

Anthropic utreder uppgifter om att en obehörig grupp fått tillgång till ”Claude Mythos Preview”, ett cybersäkerhetsverktyg som företaget bara släppt till utvalda samarbetspartner inom programmet Project Glasswing. TechCrunch, med hänvisning till Bloomberg, skriver att åtkomsten skedde via en tredjepartsleverantörs miljö och kan ha inletts samma dag som verktyget tillkännagavs.

Mythos marknadsförs som ett defensivt verktyg: en modell som ska granska programkod och öppna beroenden för att hitta sårbarheter. Samtidigt har Anthropic själv varnat för att samma förmåga kan användas för att vässa angrepp, vilket gör det känsligt att sprida verktyget utanför företagets egen skyddsperimeter. Enligt Bloombergs beskrivning tog sig gruppen inte in i Anthropics interna system, utan utnyttjade i stället en entreprenörs åtkomst och gissade var modellen låg utifrån hur Anthropic har lagt upp andra modeller. Gruppen ska ha visat att den fortsatt använde Mythos genom skärmbilder och en direktsänd demonstration.

Händelsen pekar på ett återkommande problem när storföretag rullar ut avancerade modeller: ”begränsad lansering” kan i praktiken betyda ”tillgänglig där en leverantör kan logga in”. När en modell placeras i samarbetspartners miljöer flyttas säkerhetsgränsen från ett företags samlade kontroll till en kedja av underleverantörer, delade inloggningar och interna behörighetsregler som ofta är utformade för vanlig programvara – inte för verktyg som kan påskynda upptäckt av sårbarheter. Anthropic betonar i ett uttalande till TechCrunch att man inte funnit tecken på att de egna systemen påverkats, men rapporteringen handlar om något annat: att själva verktyget gick att nå.

Det belyser också en växande andrahandsmarknad för tidig åtkomst. Bloomberg beskriver gruppen som verksam via ett privat nätforum och en kanal på chattjänsten Discord med fokus på ännu ej släppta modeller, och anger att motivet var experimenterande snarare än sabotage. Skillnaden spelar mindre roll än prejudikatet: om åtkomst kan fås genom ”kvalificerade gissningar” och fotfästen hos leverantörer blir den viktigaste begränsningen vem som vet var man ska leta. I praktiken kan samma distributionsstrategi som ska lugna kunder – att hålla Mythos borta från allmänheten – skapa ett litet antal särskilt attraktiva måltavlor i partnernätverk.

Anthropic säger att man fortfarande utreder vad som hänt. Rapportens mest konkreta påstående är också det enklaste: Mythos var tänkt att bara nås av ett urval, men någon utanför detta urval tycks ändå ha använt det.