Anthropic heeft een nieuw AI-model gelanceerd dat specifiek is getraind om andere computersystemen te hacken of te beschadigen, maar zet het in eerste instantie in als verdedigingsmiddel voor cybersecurity. Dit zet een nieuwe standaard voor AI-veiligheidstesten en verandert het dreigingslandschap voor alle bedrijven die afhankelijk zijn van digitale systemen.
Wat er aan de hand is
Het AI-bedrijf Anthropic heeft, volgens een bericht in Fast Company, een preview gelanceerd van een nieuw model genaamd ‘Claude Mythos Preview’. Dit model is opmerkelijk goed in het uitvoeren van taken die andere systemen kunnen schaden of overnemen, zoals het schrijven van schadelijke code of het vinden van kwetsbaarheden. In tegenstelling tot wat de capaciteiten suggereren, is de eerste toepassing van het model defensief: het wordt ingezet om kwetsbaarheden in eigen systemen op te sporen voordat kwaadwillenden dat doen. Dit maakt deel uit van een bredere trend waarbij AI-bedrijven hun eigen modellen proberen te ‘breken’ om ze veiliger te maken, een proces dat ‘red teaming’ wordt genoemd. De lancering van een model dat expliciet is getraind voor aanvalstaken, zelfs voor defensieve doeleinden, markeert een nieuwe fase in de AI-ontwikkeling.
Wat dit betekent
De opkomst van AI-modellen die geavanceerde cyberaanvallen kunnen uitvoeren, verhoogt het risico voor alle bedrijven exponentieel. Waar voorheen gespecialiseerde kennis nodig was, kan geautomatiseerde AI straks op grote schaal kwetsbaarheden scannen en exploiteren. Dit betekent dat de digitale beveiliging van je website, klantendatabase, e-mailsystemen en cloudopslag onder een grotere druk komt te staan. Tegelijkertijd biedt dezelfde technologie een krachtig verdedigingswapen. Security-teams kunnen met vergelijkbare tools hun eigen systemen proactief laten testen, zwakke plekken vinden en repareren voordat ze worden misbruikt. Voor het MKB verandert de dynamiek: beveiliging wordt niet langer alleen een kwestie van firewalls en wachtwoorden, maar van het voorblijven op geautomatiseerde AI-aanvallen met geautomatiseerde AI-verdediging.
Hoe je dit kunt toepassen
De praktische toepassing hangt sterk af van jouw specifieke situatie en middelen. Het kernidee is om de opkomst van geavanceerde, mogelijk schadelijke AI te zien als een reden om je verdedigende houding te versterken, niet alleen als een extra bedreiging.
Als je een webshop of online platform runt… is je primaire zorg het beschermen van klantgegevens en betalingssystemen. Een concrete stap is om je hostingprovider of IT-leverancier te vragen naar hun beleid rondom ‘AI-red teaming’ of geautomatiseerde penetratietests. Vraag of zij gebruikmaken van geavanceerde AI-tools om kwetsbaarheden in hun infrastructuur, die ook jouw site host, proactief op te sporen. Dit kan een criterium worden bij het kiezen van een partner.
Als je een klein team aanstuurt zonder dedicated IT-personeel… ligt de focus op bewustwording en basis-hygiëne. Je zou kunnen overwegen om een externe security-scan te laten uitvoeren, waarbij een partij je systemen controleert op bekende lekken. Bespreek in het team het belang van sterke, unieke wachtwoorden en tweefactorauthenticatie (2FA) voor alle bedrijfstoepassingen. Deze menselijke maatregelen vormen een cruciale eerste verdedigingslinie waar geautomatiseerde AI vaak op vastloopt.
Als je in een sector werkt met gevoelige data, zoals de zorg, financiën of advocatuur… wordt due diligence nog belangrijker. Een mogelijkheid is om in gesprek te gaan met je softwareleveranciers. Vraag hen expliciet naar hun benadering van AI-veiligheid en hoe zij garanderen dat hun producten bestand zijn tegen geautomatiseerde aanvallen. Documenteer deze antwoorden als onderdeel van je risicomanagement.
Als je zelf software ontwikkelt of laat ontwikkelen… is het integreren van security-testen in het ontwikkelproces essentieel. Overweeg om tools voor statische code-analyse (SAST) of software composition analysis (SCA) te gebruiken die automatisch naar kwetsbaarheden zoeken. Het principe van ‘veiligheid door ontwerp’ wordt, mede door de opkomst van AI-aanvalstools, een noodzaak in plaats van een luxe.
Bron: Fast Company