Din firewall er allerede forældet

Din firewall er allerede forældet

I årtier har cybersikkerhed været en kamp mellem mennesker. Intelligente, men fejlbarlige, hackere mod lige så intelligente, men lige så fejlbarlige, sikkerhedsanalytikere. En langsom, manuel dans af angreb og forsvar. Den dans er nu slut. En ny spiller er trådt ind på scenen, og den hverken sover, spiser eller keder sig.

AI-laboratoriet Anthropic, kendt for deres fokus på AI-sikkerhed, har netop trukket i nødbremsen for deres seneste model, ‘Mythos’. Årsagen er lige så simpel, som den er skræmmende: Modellen viste en hidtil uset evne til autonomt at finde og udnytte titusindvis af softwaresårbarheder. Det er ikke en teoretisk risiko. Det er en demonstreret kapacitet, der fik dens egne skabere til at begrænse adgangen øjeblikkeligt.

Denne nyhed er ikke bare endnu et kapitel i AI-kapløbet. Det er et vendepunkt, der fundamentalt ændrer spillereglerne for sikkerhed i enhver digitalt funderet virksomhed.

En hacker med uendelig tålmodighed

For at forstå omfanget af Mythos’ evner, skal man se ud over traditionelle hacking-metoder. En menneskelig hacker, eller endda et team af hackere, er begrænset af tid, ressourcer og opfindsomhed. De leder efter de mest oplagte eller mest værdifulde sårbarheder og går efter dem. Det er en målrettet indsats.

Mythos opererer på et helt andet plan. Forestil dig en agent, der kan teste alle døre, alle vinduer og alle potentielle sprækker i din virksomheds digitale infrastruktur – på samme tid. Den bliver aldrig træt. Den glemmer intet. Den lærer af hvert eneste forsøg og justerer sin strategi i et tempo, intet menneske kan matche. Anthropic opdagede, at Mythos ikke bare fandt kendte sårbarheder, men også nye, såkaldte ‘zero-day’ exploits, som ingen endnu vidste eksisterede.

Det er forskellen på en enkelt indbrudstyv og en usynlig sværm, der kan sive igennem ethvert forsvar. Den type trussel gør traditionelle, reaktive sikkerhedsforanstaltninger utilstrækkelige. Din firewall, der er designet til at stoppe kendte trusler, er pludselig oppe imod en modstander, der opfinder nye trusler i realtid.

Project Glasswing: Når giganterne tvinges til forsvar

Anthropics reaktion er lige så sigende som selve opdagelsen. I stedet for at kommercialisere eller promovere Mythos’ offensive evner, lukkede de den ned for offentligheden. Samtidig lancerede de ‘Project Glasswing’ – et defensivt samarbejde med tech-giganter som Amazon, Google og Microsoft.

Målet er at vende våbnet mod sig selv. Ved at lade Mythos angribe deres egne systemer i et kontrolleret miljø, håber de at finde og lappe hullerne, før ondsindede aktører udvikler lignende AI-værktøjer. Det er en erkendelse af, at den eneste måde at forsvare sig mod en AI-hacker er med en AI-forsvarer.

Dette samarbejde er uden fortilfælde og signalerer, at de største spillere i branchen ser dette som en eksistentiel trussel. Når virksomheder, der normalt konkurrerer benhårdt, pludselig deler deres mest følsomme sikkerhedsinformation, er det fordi, de ved, at truslen er større end deres indbyrdes rivalisering.

Den nye virkelighed for danske virksomheder

For danske B2B-ledere er Mythos-historien et kritisk wakeup-call. Den tveæggede natur af kunstig intelligens er ikke længere en abstrakt diskussion for fremtiden. Den er her nu. Her er, hvad det betyder helt konkret:

• Trusselsbilledet er ændret permanent: Angrebsfladen er ikke længere begrænset til, hvad et menneske kan overskue. Ethvert stykke software, enhver integration og enhver cloud-service er nu en potentiel indgang for en automatiseret angriber.
• AI-governance er ikke længere ‘nice-to-have’: At indføre AI i organisationen uden en stram styrings- og sikkerhedsmodel er som at efterlade bankboksen åben. Man skal vide præcis, hvilke modeller man bruger, hvad deres kapabiliteter er, og hvordan de sikres.
• Kravet til leverandører stiger: Når du køber en AI-drevet service, køber du også dens potentielle sårbarheder. Virksomheder skal stille langt hårdere krav til sikkerhed og gennemsigtighed fra deres AI-leverandører.

Fremtidens forsvar vil handle om proaktiv og intelligent overvågning. Det bliver en konstant kamp, hvor man skal bruge intelligent teknologi til at forsvare sig mod intelligent teknologi. En ny æra for AI-drevet cybersikkerhed er begyndt.

Ikke et spørgsmål om ‘hvis’, men ‘hvornår’

Anthropic har ved at handle ansvarligt givet os et forspring. De har vist os, hvad der er muligt, før det blev brugt imod os i stor skala. Men det er naivt at tro, at andre – stater, kriminelle organisationer eller konkurrenter – ikke arbejder på lignende værktøjer i det skjulte.

Historien om Mythos er ikke en skræmmekampagne. Det er et vindue til den nye virkelighed. Den passive, reaktive tilgang til cybersikkerhed er forældet. Diskussionen i bestyrelseslokalet skal skifte fra "er vi beskyttet?" til "hvor hurtigt kan vi opdage og reagere, når vores forsvar bliver brudt af en AI?". For det vil det blive.