Anthropics AI-modell Mythos har väckt stor uppmärksamhet i säkerhetsvärlden. Kanske är den så kraftfull som Anthropic säger, kanske är delar av berättelsen också marknadsföring. Men den viktigaste frågan är större än Mythos: förr eller senare kommer AI-modeller som kan hitta och exploatera sårbarheter i en takt som förändrar hela cybersäkerhetsarbetet.
Mythos visar varför cybersäkerhet inte längre kan vänta
Vi lever i en märklig tid. Ibland känns det nästan som en kamp mellan gott och ont, inte på ett filmiskt sätt, utan i den ganska konkreta vardagen där samma teknik som kan hjälpa oss att skydda samhället också kan användas för att angripa det. Det är därför jag har fastnat för diskussionen om Claude Mythos Preview, Anthropics nya AI-modell för cybersäkerhet. Inte bara för vad modellen sägs kunna göra, utan för vad den säger om riktningen vi är på väg i.
Anthropic beskriver Mythos som en mycket kapabel AI-modell för cybersäkerhetsarbete. En modell som kan hitta och exploatera sårbarheter på en nivå som tidigare modeller inte klarat. Samtidigt har de valt att inte släppa modellen öppet, utan i stället använda den inom Project Glasswing, där ett begränsat antal aktörer får tillgång till modellen för defensivt säkerhetsarbete.
Det är lätt att fastna i frågan om Mythos verkligen är så kraftfull som Anthropic säger. Det pågår redan en diskussion om detta. En del menar att det också är marknadsföring, andra pekar på att OpenAI och andra aktörer sannolikt arbetar med liknande förmågor. Jag tror personligen inte att detta bara är en marknadsövning, men för mig är det inte heller den viktigaste frågan. För även om Mythos inte skulle ha exakt den förmåga som Anthropic beskriver, kommer det förr eller senare en AI-modell som har det.
Den modellen skulle kunna vara Mythos. Den skulle kunna komma från OpenAI, från ett annat amerikanskt bolag eller från en aktör i Kina, Ryssland, Iran, Nord Korea eller någon helt annan miljö där ansvar, öppenhet och kontroll inte ser ut på samma sätt. Det är den tanken som gör frågan viktig. Inte att vi vet exakt hur kraftfull Mythos är idag, utan att vi ser vart utvecklingen är på väg.
När AI hittar sårbarheter snabbare än vi hinner laga dem
Mycket av cybersäkerhetsarbetet har historiskt byggt på en viss rytm. En sårbarhet upptäcks, den analyseras, den får kanske ett CVE-nummer, leverantören tar fram en patch (säkerhetsuppdatering) och organisationer får information, prioriterar, testar och uppdaterar. Det har aldrig varit enkelt, men det har funnits ett tempo som många verksamheter har kunnat förhålla sig till.
Med AI-modeller som kan analysera kod, förstå komplexa beroenden och i vissa fall ta fram fungerande exploits kan det tempot förändras. Sårbarheter kan upptäckas snabbare, exploits kan tas fram snabbare och tiden mellan upptäckt och angrepp kan bli kortare. Då blir patchning inte längre bara en teknisk driftfråga, utan en ledningsfråga.
För om mängden säkerhetsuppdateringar ökar samtidigt som tiden att agera minskar, räcker det inte att veta att man borde patcha. Man måste ha förmågan att göra det snabbt, kontrollerat och riskbaserat. Det kräver att man har ordning på sina system, kontroll över beroenden, fungerande test- och uppdateringsprocesser, tydliga beslutsvägar och kommunikation mellan teknik, säkerhet och ledning.
Det handlar inte bara om teknik
På Tripnet har vi börjat analysera vad den här utvecklingen kan innebära för oss och våra kunder. En av våra största farhågor är att vi kan få perioder där det kommer en mycket större mängd säkerhetspatchar än vad många organisationer är vana vid, och där de viktigaste uppdateringarna behöver hanteras betydligt snabbare än tidigare. Vi befinner oss i en tid där “vi tar det i nästa servicefönster” inte längre är gott nog.
Det betyder inte att allt alltid ska uppdateras omedelbart och utan eftertanke. Det vore också farligt. Men det betyder att organisationer behöver ha en tydlig förmåga att avgöra vad som är kritiskt, vad som kan vänta, vilka system som påverkas, vilka beroenden som finns och vem som får fatta beslut när tiden är knapp. Det är just där cybersäkerhet blir mer än teknik. Det blir styrning, prioritering och ansvar.
Det kräver också att man har pratat om detta innan det händer. När trycket ökar är det sällan den bästa tidpunkten att upptäcka otydliga mandat, okända systemberoenden eller bristande kommunikationsvägar. Därför hänger den här frågan ihop med riskanalyser, incident-övningar och tabletop-övningar. Man behöver inte bara ha dokumenterade rutiner, utan också veta hur de fungerar när verkligheten blir stökig.
Anthropic tog ansvar, men frågan är större än Anthropic
Jag tycker att Anthropic har gjort något viktigt genom att inte bara släppa Mythos som ännu en produkt. De har i praktiken sagt att den här typen av förmåga är för kraftfull för att släppas öppet direkt. Det tycker jag är ett ansvarstagande, särskilt om modellen faktiskt har den förmåga som beskrivs.
– Samtidigt löser det inte problemet. Det köper tid. För det är bara en tidsfråga innan liknande kapacitet finns på fler håll. Kanske hos andra kommersiella AI-bolag, kanske i öppna modeller, kanske hos statliga aktörer eller hos grupper som inte har något intresse av ansvarsfull lansering, samordnad sårbarhetsrapportering eller defensiv användning.
Det är därför Project Glasswing är intressant. Inte som en perfekt lösning, utan som ett försök att ge försvararna ett försprång. Den goda sidan behöver hinna först. Sårbarheter behöver hittas, förstås och åtgärdas innan samma typ av verktyg används mer offensivt. Men även om försvararna får ett försprång behöver resten av samhället kunna ta emot effekten. Om stora leverantörer hittar och patchar sårbarheter snabbare, men organisationer inte klarar att uppdatera sina egna miljöer i tid, blir försprånget mindre värt.
Patching är en strategisk förmåga
Det här är kanske den viktigaste slutsatsen för oss. Patchhastighet är inte bara ett tekniskt mått, utan ett mått på organisationens samlade förmåga att hantera risk. Hur snabbt vet vi att vi är berörda? Hur snabbt kan vi bedöma allvaret? Hur snabbt kan vi testa? Hur snabbt kan vi uppdatera? Hur snabbt kan vi kommunicera med kunder, leverantörer och interna beslutsfattare?
Det är inte bara frågor för systemingenjörer. Det är frågor för ledningen. För i en värld där AI kan öka hastigheten i både försvar och angrepp blir långsamhet en sårbarhet i sig. Inte alltid, inte överallt, men oftare än tidigare. Det är därför patchning, beroendehantering och sårbarhetshantering behöver ses som strategiska förmågor, inte bara som uppgifter i en teknisk backlogg.
Det betyder också att verksamheter behöver förstå sin egen tolerans för risk och sin riskaptit. Alla system är inte lika kritiska och alla uppdateringar är inte lika brådskande, men utan struktur blir det svårt att prioritera rätt. När tempot ökar blir det ännu viktigare att veta vad som är viktigast, vad som måste skyddas först och vilka beslut som behöver kunna fattas snabbt.
Vi är förberedda, men vi är inte färdiga
På Tripnet är vi vana vid att arbeta med risk, informationssäkerhet och kontinuerlig förbättring. Vi är ISO 27001-certifierade och arbetar systematiskt med riskanalyser, sårbarhetshantering och uppföljning. Vi följer utvecklingen inom AI, NIS2, cybersäkerhetslagen och digital suveränitet nära, inte för att alla nya händelser kräver panik, utan för att de ibland visar vart riskbilden är på väg.
Mythos förändrar inte allt över en natt. Men den sätter fingret på något som redan håller på att hända: tempot ökar. Vi behöver kunna patcha snabbare, förstå våra beroenden bättre, veta vilka system som är mest kritiska och ha tydliga beslutsvägar när riskbilden förändras. Vi behöver också använda AI på ett sätt som stärker vår förmåga, utan att tappa kontrollen.
Vi får se om Mythos blir den stora brytpunkten eller om modellen främst blir en föraning om något som kommer strax därefter. Men riktningen är svår att missa. Förr eller senare kommer AI-modeller att kunna hitta och exploatera sårbarheter på en nivå som förändrar spelplanen för cybersäkerhet. Kanske är vi redan där, kanske är vi nästan där, men oavsett behöver vi agera som om tiden mellan upptäckt och angrepp håller på att krympa.
För mig handlar det inte om att vara rädd. Det handlar om att vara förberedd. Frågan framåt är inte bara om vi har en patchprocess, utan om den är tillräckligt snabb, tillräckligt prioriterad och tillräckligt förankrad i verksamheten. Det är där cybersäkerhet blir konkret, och det är där vi på Tripnet vill hjälpa våra kunder att stå stadigt även när tempot ökar.
Läs mer om Mythos här:
https://go.nikkasystems.com/podd347
https://labs.cloudsecurityalliance.org/mythos-ciso/
Denna artikel är skrivet ut ledningens perspektiv. I början av maj kommer vi att publicera ytterligare en artikel. Då blir det ut säkerhetschefens mer praktiska perspektiv med lite tips och råd.
