Het Britse AI Security Institute (AISI) heeft onafhankelijk bevestigd dat geavanceerde AI-modellen zoals Anthropic’s Mythos steeds beter worden in het uitvoeren van complexe, meerstaps cyberaanvallen. Dit betekent dat de dreiging van AI-gestuurde cybercrime voor bedrijven concreet en groeiend is, en dat het verhogen van de basisbeveiliging nu prioriteit moet zijn.
Wat er aan de hand is
Het Britse AI Security Institute (AISI) heeft een eerste onafhankelijke evaluatie gepubliceerd van het nieuwe AI-model Mythos Preview van Anthropic. Het instituut test sinds begin 2023 AI-modellen op hun vermogen om cybersecurity-gerelateerde taken uit te voeren, via zogenaamde ‘Capture the Flag’-uitdagingen. Waar GPT-3.5 Turbo in 2023 nog moeite had met basistaken, kan Mythos Preview nu meer dan 85 procent van diezelfde ‘Apprentice’-niveau taken voltooien. Volgens de bevindingen van AISI onderscheidt Mythos zich niet zozeer in individuele taken, maar vooral in zijn vermogen om verschillende stappen effectief aan elkaar te koppelen tot een complete, meerstaps aanval die nodig is om systemen binnen te dringen. Anthropic had zelf al aangekondigd dat het model “opvallend bekwaam is in computerbeveiligingstaken” en de eerste release beperkt tot een selecte groep kritieke partners.
Wat dit betekent
Deze onafhankelijke bevestiging door een overheidsinstituut betekent dat de risico’s van AI-gestuurde cyberaanvallen niet langer theoretisch of toekomstmuziek zijn, maar actueel en meetbaar. Voor ondernemers en professionals, met name in het MKB dat vaak minder geavanceerde beveiliging heeft, vergroot dit de urgentie. Aanvallers kunnen met behulp van dergelijke AI-tools aanvallen automatiseren en complexer maken, waardoor traditionele verdedigingsmethoden mogelijk tekortschieten. Het feit dat een model meerdere stappen kan plannen en uitvoeren – van het vinden van een kwetsbaarheid tot het daadwerkelijk overnemen van een systeem – maakt de dreiging reëler. Het betekent ook dat bedrijven niet alleen moeten denken aan het blokkeren van één aanval, maar aan een keten van gebeurtenissen die een AI kan orkestreren.
Hoe je dit kunt toepassen
De praktische toepassing hangt sterk af van jouw specifieke situatie en de digitale kwetsbaarheden van je bedrijf. De kern van de bevindingen is dat de dreiging complexer wordt, wat een robuustere basisverdediging vereist.
Als je een klein of middelgroot bedrijf runt met een website en klantdata… is de eerste stap het versterken van de fundamenten. Een mogelijkheid is om een externe partij een eenmalige penetratietest of security-scan te laten uitvoeren om de meest voor de hand liggende kwetsbaarheden op te sporen. Zorg ervoor dat alle software, inclusief plugins op je website, up-to-date is, want geautomatiseerde tools zijn bijzonder goed in het misbruiken van bekende lekken.
Als je een team aanstuurt dat met gevoelige informatie werkt… zou je kunnen overwegen om de awareness te vergroten. AI-gestuurde phishing-aanvallen kunnen bijvoorbeeld persoonlijker en overtuigender zijn. Het organiseren van een korte training of het delen van concrete voorbeelden van geavanceerde phishing-pogingen kan het team alerter maken. Overweeg ook het principe van ’least privilege’ toe te passen, waarbij medewerkers alleen toegang hebben tot de systemen die ze strikt nodig hebben.
Als je diensten levert die afhankelijk zijn van continuïteit, zoals hosting of online handel… is een getest incidentresponse-plan cruciaal. Een optie is om samen met je IT-leverancier of interne expert een eenvoudig plan op te stellen voor het geval er een inbreuk wordt gedetecteerd. Wie moet er gebeld worden? Hoe wordt communicatie naar klanten geregeld? Welke back-ups zijn er? Het testen van dit plan, zelfs in een eenvoudige tabletop-oefening, kan veel tijd besparen tijdens een echte crisis.
De algemene les is dat de opkomst van AI-aanvalsmodellen geen reden is voor paniek, maar wel voor actie. Focus op het dichten van basislekken, het vergroten van bewustzijn en het voorbereiden op incidenten. Dit verhoogt de drempel voor zowel traditionele als AI-gestuurde aanvallen aanzienlijk.
Bron: Arstechnica