Violato Mythos di Anthropic: catena di falle espone il modello AI
Accesso non autorizzato a Mythos rivela la vulnerabilità delle catene di dipendenza nella sicurezza AI, coinvolgendo anche terze parti.
Il modello Mythos di Anthropic, sviluppato per l'analisi e la prevenzione di vulnerabilità informatiche, è stato oggetto di un accesso non autorizzato da parte di terzi. L'incidente, riportato da Bloomberg, mette in discussione la capacità di protezione dei dati da parte dell'azienda, nota per la sua attenzione a sicurezza e responsabilità nel settore dell'AI.
L'accesso illecito è avvenuto attraverso una sequenza di violazioni a catena che ha coinvolto fornitori terzi. Un dipendente di un contractor ha sfruttato informazioni ottenute da un precedente data breach presso Mercor, società specializzata in reclutamento per l'AI, compromessa a sua volta tramite una vulnerabilità in un tool open-source. Le conoscenze acquisite sulla struttura dei file e dei naming format di Anthropic hanno permesso al gruppo di ottenere privilegi su Mythos.
Nonostante i benefici portati da Mythos, come la correzione di centinaia di vulnerabilità in Firefox, il caso evidenzia come la catena di fiducia nei fornitori esterni rappresenti un punto critico. "Se la sicurezza si basa sul punto più debole, spesso è l'elemento umano o un fornitore terzo a determinare l'esposizione". L'episodio sottolinea la necessità di rafforzare i controlli su tutta la filiera digitale per i sistemi AI.
