De siste ukene har det vært bred mediedekning av en ny AI-modell fra Anthropic, som ifølge selskapet selv kan identifisere og utnytte sårbarheter langt raskere enn tidligere. Modellen testes nå i et lukket samarbeid med store teknologiselskaper for å finne og tette hull før angripere gjør det, blant annet omtalt av Wired.

Bloomberg beskriver hvordan selskaper som Apple og Amazon får tidlig tilgang til teknologien for å styrke egen sikkerhet før den eventuelt blir bredere tilgjengelig. Samtidig peker The Guardian på at deler av påstandene ikke er uavhengig verifisert, og at kommunikasjonen også kan være preget av strategisk posisjonering i et konkurransepreget AI-marked.

For norske virksomheter er ikke dette først og fremst en ny type trussel. Det er en forsterkning av noe vi allerede vet.

Dette er ikke et nytt problem

De samme svakhetene gjelder fortsatt. Manglende patching. Eksponerte tjenester. For brede tilganger. Manglende oversikt. Dette er ikke nye problemer. Det er problemer vi har snakket om i årevis. Forskjellen er tempo.

Tempoet har endret seg

Der det tidligere kunne ta uker å oppdage og utnytte en sårbarhet, kan det nå i enkelte tilfeller skje på dager eller timer. AI gjør ikke nødvendigvis angripere smartere. Men det gjør dem raskere og mer skalerbare. Det betyr at tiden du har til å reagere blir kortere.

Den virkelige risikoen er gapet

Den største risikoen nå er ikke ny teknologi i seg selv. Det er gapet mellom det du vet du burde gjøre og det du faktisk får gjort. Mange virksomheter har god forståelse av egen risiko. Likevel blir tiltak utsatt fordi organisasjonen er kompleks, fordi teknisk gjeld tar tid å håndtere, eller fordi andre initiativer prioriteres høyere. Når tempoet i trusselbildet øker, blir dette gapet farligere. Dette handler ikke om å bli best i sikkerhet. Det handler om å ikke være lettest å angripe.

Fire grep ledelsen bør sikre nå

For ledelsen betyr det å sikre at noen helt grunnleggende ting faktisk skjer.

• Sørg for at patching går raskt nok: Hvis det tar uker å oppdatere kritiske systemer, er det et reelt risikobilde. Automatiser der det er mulig, og sørg for at resten håndteres innen dager, ikke uker.
• Reduser hva som er eksponert: Gå gjennom hva som er tilgjengelig fra internett. Lukk det som ikke må være åpent. De fleste angrep starter ikke avansert, de starter med noe som ikke skulle vært tilgjengelig.
• Få oversikt over egen eksponering: Mange virksomheter mangler en oppdatert oversikt over hva som faktisk er eksponert, hva som er sårbart, og hvor tilganger er for brede. Uten dette er det vanskelig å prioritere riktig.
• Planlegg for at noe vil feile: Ingen sikkerhetskontroller er perfekte. Sørg for at virksomheten tåler at én eller flere svikter. Det innebærer å begrense konsekvensene av et angrep, sikre at kritiske data kan gjenopprettes, og at viktige tjenester kan opprettholdes eller trappes kontrollert ned, i stedet for å stoppe helt.

Du trenger ikke vente på at alle påstander om AI og sikkerhet er fullt dokumentert før du handler. Hvis utviklingen går så raskt som noen hevder, er det enda viktigere å komme i gang. Hvis det viser seg å være overdrevet, er dette fortsatt tiltak du burde gjort uansett.

AI endrer ikke spillereglene. Den skrur opp tempoet. Om det er mulig å ta igjen etterslepet, avhenger av hvor langt bak man ligger. Uansett blir det mer krevende jo lenger man venter.

Kilder

Wired: Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything

Bloomberg: Apple, Amazon Gain Early Access to Anthropic’s Powerful Mythos AI Model

The Guardian: ‘Too powerful for the public’: inside Anthropic’s bid to win the AI publicity war

Bloomberg Law: Bessent Urgently Summons Bank CEOs Over Anthropic’s New AI