Nya AI-verktyg kan förändra förutsättningarna för cyberattacker och öka riskerna för organisationer med bristande säkerhet. Det säger it-säkerhetsexperten Emil Olofsson vid Integrity360 i en analys av AI-modellen Mythos, som fått stor uppmärksamhet.
Emil Olofsson pekar på att uppgifter om tusentals sårbarheter bygger på begränsad granskning, samtidigt som utvecklingen visar att AI kan ta över delar av kartläggning och testning av system.
”Det är förståeligt att uppgifterna kring Mythos väcker stor uppmärksamhet. Det handlar om påståenden om tusentals sårbarheter, där vissa problem ska ha funnits i systemen i flera decennier. Samtidigt bygger mycket på egen rapportering och den oberoende granskningen är fortfarande begränsad. Det betyder inte att uppgifterna är felaktiga, men att det finns många frågetecken. Klart är ändå att utvecklingen pekar åt ett tydligt håll. Verktyg som detta gör det enklare att genomföra attacker, eftersom AI kan ta över stora delar av kartläggning och testning. Det gör organisationer med bristande säkerhet mer utsatta.
Samtidigt behöver resultaten sättas i sitt sammanhang. Enligt utvecklarnas egen dokumentation krävdes både mycket stora beräkningsresurser och modeller utan vanliga begränsningar, där systemen fick testa samma saker om och om igen. Det liknar mer ett kontrollerat experiment än hur verkligheten ser ut i dag. De mest riskfyllda resultaten uppstår när skydd tas bort och kostnaderna tillåts bli höga. Det finns därför ett tydligt avstånd mellan det som visas upp och det som i nuläget är möjligt för de flesta angripare.
Det finns också praktiska begränsningar. Ett ofta nämnt exempel är en 27 år gammal sårbarhet som enligt uppgift kostade omkring 20 000 dollar att upptäcka. Det visar dels att den här typen av kapacitet är dyr, dels att sammanhanget spelar stor roll. Sårbarheten fanns i ett open source‑projekt utan något formellt belöningssystem, vilket väcker frågan om den hade fått samma uppmärksamhet i en kommersiell miljö.
Om tekniken ändå får bred spridning är konsekvenserna långt ifrån självklara. Många organisationer kämpar redan med att hinna åtgärda kända brister. En ökad mängd upptäckter kan därför på kort sikt öka riskerna snarare än minska dem. I slutändan handlar det om beredskap. Organisationer som redan har byggt in säkerhet i sina utvecklingsprocesser har ett försprång, medan andra riskerar att hamna efter och bli enklare mål", säger Emil Olofsson.
