連邦最高情報責任者Greg Barbacciaは火曜日、政府がAnthropicのMythosモデルに対して慎重な期待を持って接していると述べ、連邦サイバー防衛を強化する可能性と、実世界の環境でどのように機能するかについての重大な不確実性の両方を認めた。
Barbacciaは、Mythosへの直接的な経験は評価とベンチマーク試験に限定されており、まだどの連邦機関も導入していないと述べた。National Cyber DirectorのOfficeが政府のアプローチを調整していると彼は言っているが、AI支援のサイバーセキュリティがどこへ向かっているかについての、より広い評価は明確であった。
「我々はすぐにAI防御が追いつく世界に到達するだろう」とBarbacciaは火曜日、Scoop News Groupが制作したWorkday Federal ForumでCyberScoopに語った。「ボットがボットを見つける段階に到達しなければならない。」
今月初め、Barbacciaはメールを送信した内閣機関に対して、Office of Management and Budgetが連邦機関へのモデルの統制的なロールアウトの準備を開始したことを通知した。
彼の見方は、Mythosを潜在的な攻撃の脅威にしている能力が、防御ツールとしての価値を作り出しているという見方を反映している。Anthropicはモデルがテスト中に主要なオペレーティングシステムとWebブラウザ全体で数千の以前は未知の高重大度の脆弱性を特定したと述べた。その多くは数十年前のものである。連邦セキュリティチームにとっての問題は、これらの能力が現実であるかどうかではなく、統制された実験室設定から政府機関が実際に運用する複雑で守られたネットワークにそれらが転換するかどうかである。
Barbacciaはその隔たりについて率直であった。
「初心者のサイバーセキュリティ攻撃オペレーターをより効率的にすることができると思う」と彼はCyberScoopに語った。「しかし、実世界の条件、つまり人間の防衛者に守られアラート機能などを持つネットワークに対して、どれほど効果的であるかについては、まだ判断が定まっていない。私が見た評価は実験室での学習であった。」
その区別は、モデルについてどう考えるかを検討する連邦セキュリティチームにとって重要である。脆弱性を見つけることと、守られた環境でそれを成功裏に悪用することは異なる問題である。BarbacciaはCVEカタログ、政府の既知のソフトウェア欠陥の実行リストを、モデルの速度が実用的な価値を持つ可能性のある領域として指摘した。そのカタログを通じて作業する人間アナリストは相当な時間がかかるであろう。Mythosのようなモデルはそれをはるかに速く進むことができる。しかし、速度だけでは脆弱性が実際の脅威をもたらすかどうかを決定しない。
「BIOSブート中の4ナノ秒のウィンドウで悪用可能なものと、実世界でそれが悪用されるという現実の間には違いがある」と彼は言った。「脅威サーフェス全体を保護できるのと同じように、我々は理解しなければならない。王冠の宝石はどこにあるのか?そして、何かを保護する方法、そしてあなたが展開している保護があなたが保護しているものの価値があることを確認する方法。」
その種の思考は、リソースの制約の下で操作し、最初に対処する脆弱性をトリアージしなければならない連邦ネットワーク防衛者には馴染みがある。Mythosが潜在的に変えるのは、そのトリアージが発生する速度、そして敵がそれらを見つける前に脆弱性が特定される深さである。
Barbacciaは、民間機関全体でテクノロジーポリシーを調整するCIO Councilがまだ、モデルがエンタープライズセキュリティ環境にとって何を意味するかを理解する初期段階にあると述べた。「皆さんはもっと学ぶことに好奇心を持っているだけです」と彼は言った。
機関はAnthropicのモデルへのアクセスを取得するために独自に試みた。財務省はアクセスを要求した、報道によると。CISA、民間機関ネットワークの保護、監視、防衛に責任がある機関は、アクセスを許可されていない。
翻訳元: https://cyberscoop.com/anthropic-mythos-federal-cybersecurity-evaluation-greg-barbaccia/
