Credenciais velhas quebraram o sistema de IA mais secreto da Anthropic

Harman Kaur, Vice-Presidente de IA da Tanium, analisa como credenciais reutilizadas e um padrão de URL previsível foram suficientes para comprometer um dos sistemas de IA mais restritos da Anthropic.

A Anthropic considerou o Mythos um sistema sensível demais para ser amplamente divulgado, mas mesmo assim foi possível obter acesso por meio de uma combinação de credenciais de terceiros e padrões de infraestrutura expostos. O que isso revela sobre a lacuna entre a criação de sistemas avançados de IA e o seu controle efetivo na prática?

HK: O acesso ao Mythos não exigiu nenhum vetor de ataque sofisticado. Tudo se resumiu a uma simples falha de controle. A URL do endpoint foi inferida a partir da sintaxe de nomenclatura da Anthropic, que já havia vazado na violação anterior da Mercor, e as credenciais legítimas de um contratado concluíram o trabalho. Sem zero-days, sem exploits inovadores. Apenas duas lacunas comuns de governança acumuladas uma sobre a outra. E essa é realmente a lição aqui. No ritmo em que estamos desenvolvendo, a governança e os controles são fáceis de ignorar e raramente acompanham a velocidade da inovação.

Este incidente envolveu uma combinação de acesso de terceiros e padrões de infraestrutura expostos. Como as organizações devem abordar a segurança do ecossistema mais amplo em torno da IA (e não apenas dos próprios modelos)?

HK: O incidente da Mythos serve como um lembrete de que o modelo em si raramente é o elo mais fraco. A superfície de ataque em torno da IA é muito mais ampla do que a maioria das pessoas imagina. Ela inclui todos os fornecedores que têm contato com o sistema, todos os prestadores de serviços com acesso, todos os componentes de middleware e todas as credenciais que podem alcançar qualquer uma dessas camadas. A Mythos não foi invadida por meio da quebra da infraestrutura central da Anthropic. Ela foi invadida por meio de um fornecedor de dados de treinamento, um prestador de serviços e um padrão de URL previsível. Isso é semelhante à forma como o setor tem se apoiado em ferramentas de segurança sofisticadas como última linha de defesa, enquanto deixa vulnerabilidades sem patch à vista de todos. A IA amplifica esse problema. Os riscos são maiores, o ritmo é mais acelerado e o raio de impacto de um único fornecedor comprometido é muito maior do que costumava ser. Temos que acertar o básico, porque nenhuma quantidade de ferramentas avançadas nos salvará se a porta da frente for deixada aberta.

Para as empresas que adotam sistemas de IA mais avançados ou autônomos, que lições devem extrair deste incidente em termos de governança, visibilidade e controle?

HK: A Mythos não sofreu uma violação por meio de nada sofisticado. As credenciais de um prestador de serviços ainda estavam ativas e foram reutilizadas fora do escopo pretendido. O URL do endpoint era fácil de adivinhar porque os padrões de nomenclatura da Anthropic vazaram por meio de uma violação separada em um de seus fornecedores. Cada uma dessas questões tem uma solução bem conhecida: MFA resistente a phishing, definição de escopo com privilégios mínimos, desativação rápida, supervisão de fornecedores e mentalidade de “presumir que houve violação”. Nada disso é novidade. Precisamos apenas aplicar ainda mais rigor agora, dado o ritmo atual.
 

Você considera as estratégias de acesso restrito um meio viável de controle a longo prazo para sistemas de IA poderosos, ou isso ressalta a necessidade de salvaguardas mais sistêmicas?

HK: O acesso restrito é útil, mas não é uma solução a longo prazo, e o Mythos mostra o porquê. A superfície de ataque aumenta com cada usuário autorizado. Quarenta organizações parecem poucas até você contar os prestadores de serviços e fornecedores por trás de cada uma delas. O acesso restrito ganha tempo. Não garante segurança. O Mythos mostra que o tempo que ele ganha é medido em dias, não em anos. Os defensores precisam acertar sempre. Os invasores só precisam entrar uma vez.