“Conseguimos usar a IA para encontrar mais bugs (falhas) do que conseguimos tratar por meses, se não anos”, disse uma pessoa com ampla experiência em pesquisa de vulnerabilidades e com acesso antecipado ao Mythos. O desafio não é encontrar vulnerabilidades, disseram os especialistas, mas validá-las, priorizá-las e corrigi-las sem quebrar os sistemas.
A capacidade das organizações de processar e validar uma enxurrada de vulnerabilidades recém-descobertas geralmente não está onde precisa estar, disse a fonte, e esse é o maior desafio introduzido pelos modelos do nível do Mythos.
“Ele é capaz de encontrar mais com um prompt mais fraco do que os modelos anteriores”, disse a fonte, referindo-se às instruções que um usuário fornece ao modelo para tentar atingir um objetivo. Os modelos existentes exigiam instruções mais detalhadas e complicadas, afirmou, o que significa que a barreira de entrada foi reduzida.
Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, disse que um aspecto novo e útil do Mythos é sua capacidade não apenas de identificar vulnerabilidades, mas também de verificar com muito mais rapidez grandes quantidades de código em busca dessas vulnerabilidades. Assim, ele ajuda profissionais experientes a reduzir a taxa de falsos positivos.
Isso, segundo Grieco, permite que os defensores se concentrem nos riscos cibernéticos mais urgentes em seus contextos. O modelo também tem menos barreiras do que os modelos anteriores, permitindo que os usuários criem instruções mais específicas.
Projeto Glasswing testa defesas
Grieco disse ainda que, para maximizar totalmente o uso do Mythos, as organizações precisam tanto de poder de computação adequado quanto de um rigoroso “harness” — termo usado para descrever o ambiente de computador em uma organização em que um modelo de large language é executado com instruções e limitações específicas.
