Az amerikai székhelyű Anthropic cég több mint egy hónapja korlátozott körben, kiemelt nagyvállalatok számára elérhetővé tette Mythos nevű AI modelljét. A bejelentés nemzetközi szinten is komoly visszhangot váltott ki, olyannyira, hogy az írországi Nemzeti Kiberbiztonsági Központ (NCSC) története során először adott ki közleményt egyetlen konkrét termék megjelenése miatt. A Mythos ugyanis olyan fejlett képességekkel rendelkezik, amelyek támadó kiberbiztonsági műveletekre is alkalmassá teszik, felvetve a kérdést: a frissen elfogadott EU AI Act képes-e egyáltalán kezelni az ilyen jellegű, globális fenyegetéseket?
A Mythos-jelenség: Új korszak a kiberbiztonsági kockázatokban
A Mythos nem egy szándékosan kiberfegyvernek fejlesztett eszköz. Az Anthropic állítása szerint a modell képességei csupán egy „mellékes következményei a kódolás, az érvelés és az autonómia terén elért általános fejlődésnek”. Ez a magyarázat azonban keveset változtat a tényen, hogy a modell alkalmas sebezhetőségek felderítésére és kihasználására. Joseph Stephens, az NCSC reziliencia igazgatója egy dublini konferencián, a ZeroDayCon-on nyilatkozva kiemelte a legfőbb aggályt:
AI Biztonság kérdésed van? Itt elérsz minket:
„A legnagyobb gondot jelenleg az a nyomás jelenti, amelyet [a Mythos] a szervezetekre helyezhet, amelyeknek mostantól minden digitális terméküket és szolgáltatásukat frissíteniük kell.”
Ez a nyomás a patch menedzsment ciklusok felgyorsítását kényszeríti ki, hiszen egy ilyen képességű AI drámaian lerövidítheti az időt egy sebezhetőség publikálása és annak tömeges kihasználása között. A helyzetet tovább bonyolítja, hogy az Anthropic európai központja Írországban található, ami közvetlen európai érintettséget teremt.
Az EU AI Act tűzkeresztségben: Szabályozás vs. Valóság
Az Európai Unió a hónap elején fogadta el az AI Act új, ideiglenes szabályait, amely egy mérföldkőnek számító jogszabály a mesterséges intelligencia szabályozásában. Joseph Stephens szerint „az AI Act lehetővé teszi számunkra, hogy biztosítsuk, a piacunkra kerülő termékek biztonságos módon kerüljenek bevezetésre.” A törvény hatálya kiterjed minden olyan vállalkozásra, amely az EU piacára értékesít, vagy amelynek AI-kimenetét az EU-ban használják fel. Ez elméletben lehetőséget adna a Mythos-hoz hasonló modellek szabályozására.
Azonban a gyakorlati alkalmazhatóság már korántsem ennyire egyértelmű. Dr. TJ McIntyre, a University College Dublin jogi karának docense szerint:
„Nem világos, hogy az AI Act alkalmazható lenne-e, ha a Mythos használatát földrajzilag az EU-n kívülre korlátozzák.”
Bár a törvényt úgy tervezték, hogy kezelje a „támadó kiberképességeket… mint egyfajta rendszerszintű kockázatot”, a jogi szürkezóna jelentős. Ha egy amerikai cég egy modellt csak az EU-n kívüli ügyfeleknek tesz elérhetővé, de annak kimenete (például egy exploit kód) mégis bekerül az Unióba, az a szabályozás határait feszegeti.
AIQ-elemzés: Mit jelent ez a vállalati audit és a megfelelőség szempontjából?
Az AIQ szerint a Mythos-ügy egy kritikus teszt az EU AI Act és a GDPR számára is. Vállalati kontextusban ez azt jelenti, hogy a megfelelőségi és biztonsági stratégiákat sürgősen újra kell gondolni.
- OWASP LLM Top 10 kontextus: A Mythos közvetlenül érinti az OWASP LLM Top 10 több pontját is. Különösen releváns az LLM10: Unsafe Code Generation, amely itt már nem csupán sebezhető kód generálását, hanem aktív exploit-készítést jelent. Emellett az LLM06: Sensitive Information Disclosure kockázatát is növeli, hiszen a modellel hatékonyabb támadásokat lehet kidolgozni érzékeny adatok megszerzésére.
- Red Teaming és audit: A vállalati red teaming szolgáltatásoknak és a biztonsági auditoknak fel kell készülniük az AI-asszisztált, automatizált támadásokra. Az eddigi manuális vagy félig automatizált sebezhetőség-keresési módszerek hatékonysága csökkenhet az ilyen gyors és adaptív eszközökkel szemben. Az LLM biztonsági auditoknak már nemcsak a cég saját modelljeire, hanem a külső, támadó AI modellek által jelentett fenyegetésekre is ki kell terjedniük.
- EU AI Act és GDPR megfelelőség: A cégeknek nem elég a saját AI-rendszereik megfelelőségét biztosítani. Fel kell mérniük, hogy a beszállítói láncukban vagy akár a piacukon használt külső AI-eszközök milyen kockázatot jelentenek. A Mythos-hoz hasonló modellek által generált támadások adatvédelmi incidenst okozhatnak, ami a GDPR hatálya alá tartozik, függetlenül a támadó eszköz eredetétől.
Globális kihívás, európai válasz: A koordináció ereje és korlátai
A Mythos által támasztott kihívás nem korlátozódik Európára. Az Egyesült Államok, az Egyesült Királyság, Kanada és Japán is tárgyalásokat kezdeményezett az Anthropic-kal. Ez rávilágít a probléma globális természetére. Joseph Stephens hangsúlyozta az összehangolt fellépés fontosságát: „Az európai rendszeren keresztül dolgozunk, mert egy koordinált megközelítésben több erő van.”
Ugyanakkor elismerte a nemzeti szintű szabályozás korlátait is:
„Fel kell ismernünk, mit tehet és mit nem tehet meg az ír állam. Nem tudjuk megakadályozni, hogy egy amerikai székhelyű cég, mint az Anthropic, kiadjon vagy ne adjon ki egy modellt.”
Ez a kettősség mutatja, hogy bár Európa az AI Act-tel élen jár a szabályozásban, a valódi hatékonysághoz nemzetközi együttműködésre és a technológiai realitásokhoz igazodó, rugalmas jogalkalmazásra van szükség. Ahogy Stephens fogalmazott, Európa „nem tudja pusztán szabályozással megoldani ezt a helyzetet.” A Mythos egyértelműen jelzi, hogy a technológiai fejlődés üteme folyamatosan próbára teszi a jogi keretrendszereket, és a proaktív, kockázatalapú biztonsági megközelítés elengedhetetlen a modern vállalati környezetben.